Jednym z większych wyzwań dla działów IT są dziś ataki phishingowe, przy pomocy których cyberprzestępcy zdobywają i przejmują cenne informacje, takie jak loginy i hasła, wrażliwe dane, np. numery PESEL czy numery kart płatniczych wraz z zabezpieczeniami. GPT, czyli technologia oparta na sztucznej inteligencji Generative Pre-trained Transformer (GPT), może sprawić, że problem z kradzieżą wrażliwych danych przy użyciu fałszywych e-maili stanie się jeszcze poważniejszy.
Badacze udowodnili, że dzięki uczeniu maszynowemu można dziś bez problemu wygenerować tekst idealnie nadający się do przeprowadzenia kampanii pishingowej lub przejęcia konta firmowego (Business Email Compromise) na dużą skalę. Badacze przeprowadzili też m.in. eksperyment, w którym oceniano, jak zmiany zadanych pytań, wpływają na otrzymywane wyniki. Efekty? Niepokojące.
Potencjalnie szkodliwe i wprowadzające w błąd treści, które mogą być wykorzystane do popełnienia przestępstwa, są z łatwością generowane przez te modele. Potrafią one też tak dobrze naśladować konkretne style pisania, że standardowemu odbiorcy trudno jest odróżnić e-maila wysłanego np. przez jej szefa od tego, którego przesłała maszyna.
– Wyobraźmy sobie scenariusz, w którym do przejętego konta pocztowego podłącza się złośliwy bot zasilany sztuczną inteligencją. Taki system w ułamku sekundy przeprowadzi analizę historii korespondencji, przygotuje listę adresatów ataku i dostarczy im wiadomość ze złośliwym linkiem, której treść będzie napisana poprawnym językiem, stylistycznie nieodbiegającym od innych wiadomości wysyłanych przez tego pracownika – mówi Michał Zalewski, inżynier w firmie Barracuda Networks, która jest dostawcą rozwiązań bezpieczeństwa typu cloud-first.
Platformy takie, jak ChatGPT budzą więc uzasadniony niepokój wśród specjalistów ds. cyberbezpieczeństwa. Interesują się nimi żywo cyberprzestępcy. I choć ChatGPT ma dziś pewne ograniczenia – z założenia ma być bezpieczny i dostępny dla wszystkich, więc nie odpowiada na pytania, które można uznać za szkodliwe lub nieodpowiednie, to z czasem prawdopodobnie pojawią się inne narzędzia, które będą miały mniej skrupułów co do sposobów wykorzystania sztucznej inteligencji.
Jak widać – to tylko sztuczna inteligencja – i ją też da się podejść i zmusić do działania spoza schematu, które często może być wykorzystane, jako złośliwy atak. Trzeba więc traktować ją, jak każde inne narzędzie, które – jak wiemy – może być używane zarówno w dobrych, jak i w złych celach. A dostęp cyberprzestępców do takiej platformy, jak chatGPT i możliwość skorzystania z jej potencjału jest kosztem, który musimy ponieść w procesie rozwoju tej technologii.
Tak czy inaczej, specjaliści ds. cyberbezpieczeństwa powinni założyć, że liczba ataków phishingowych będzie od teraz rosła, a one same będą stawały się coraz bardziej wyrafinowane.
– Niejednokrotnie byłem świadkiem incydentów, w których to bardziej czujni pracownicy odpisywali na wiadomość phishingową po to, żeby zweryfikować jej zasadność. Otrzymywali nawet odpowiedź. To zazwyczaj była krótka i nieskładna informacja zachęcająca mimo wszystko do otwarcia złośliwego załącznika. A co jeśli teraz po drugiej stronie znajdzie się przeciwnik zdolny do przeprowadzenia dłuższej i całkowicie poprawnej konwersacji? – zastanawia się Zalewski.
Na szczęście do naszej dyspozycji są również narzędzia, które pozwalają wykryć, czy dany fragment tekstu został stworzony przez maszynę. Włączenie takich mechanizmów do platform antyphishingowych jest więc tylko kwestią czasu. Do tego momentu jednak każdy powinien śledzić, jak ewoluują modele GPT. A tempo to będzie coraz szybsze – platformy AI stale są wyposażane w dodatkowe możliwości – wychodzą poza tekst, obejmując obrazy i wideo.
Ryzyko, przyszłość
Liderzy organizacji zaczynają wymagać od specjalistów ds. bezpieczeństwa IT oceny poziomu ryzyka biznesowego, jakie niosą ze sobą platformy GPT. Eksperci nie mogą więc skupiać się tylko na tym, jakich problemów ta technologia może przysporzyć biznesowi dzisiaj. Pewne jest, że wkrótce stanie się ona jeszcze łatwiejsza w użyciu. Będzie szkolić się na mniejszych zbiorach danych, może nawet ograniczonych do konkretnych przypadków i branż.
Źródło: materiały prasowe. Zdjęcie ilustracyjne – fot Shutterstock.
