Разработки в области искусственного интеллекта (ИИ) очень интересны. Многие пользователи тестируют такие приложения, как ChatGPT. Кто-то ради развлечения, кто-то, чтобы сделать свою работу более эффективной в долгосрочной перспективе.
Все больше и больше компаний интегрируют чат-ботов и помощников на базе искусственного интеллекта в свои продукты и процессы. Это показывает, что ИИ можно обманом заставить передать конфиденциальную информацию и тем самым создать серьезные бреши в безопасности.
Искусственный интеллект обещает множество улучшений в рабочих процессах, но не следует упускать из виду связанные с этим риски.
Таким образом, необходимость регулирования использования ИИ связана не только с этическими и юридическими аспектами, но и во все большей степени становится вопросом кибербезопасности. Некоторые крупнейшие в мире деловые, финансовые и юридические компании уже признали, что к рискам безопасности ИИ следует относиться серьезно, и ограничили или даже запретили внутреннее использование ChatGPT.
Чат-ботов можно обманом заставить раскрыть конфиденциальные данные
Чат-боты на базе искусственного интеллекта, такие как ChatGPT, и чат-помощники на веб-сайтах автоматически собирают не только личные данные, которыми пользователи делятся с ними, но и информацию об их устройствах доступа, их местоположении и даже активности в социальных сетях.
Согласно политике конфиденциальности, с которой соглашаются пользователи при использовании ChatGPT, владелец обязуется защищать данные, не разглашая их третьим лицам. Тем не менее, информация может быть использована, например, для индивидуализированной рекламы.
Многие пользователи не знают, что чат-боты не предлагают механизмы защиты данных, такие как шифрование, предотвращение потери данных, ограничения доступа и журналы, которые могут открыть дверь для кибер-взломов.
И это именно главная уязвимость, которую хакеры в последнее время все чаще используют. Текущий уровень безопасности данных чат-ботов совершенно не гарантирует защиты как конечным пользователям, так и компаниям, которые интегрируют их в свои сервисы. Поэтому никто не должен вводить конфиденциальную информацию в ИИ-помощников или чаты.
Конечно, если у чат-ботов напрямую спросят личную информацию или конфиденциальную деловую информацию, они не дадут ответа. Но благодаря умелым манипуляциям с поисковым запросом и изощренной формулировкой хакеры могут извлечь любую конфиденциальную информацию. Сюда входят данные о контактах и местоположении, предпочтениях, деловых связях и партнерах и даже пользовательские данные и пароли.
Вооружившись этими знаниями, преступники могут провести множество персонализированных и целенаправленных атак на отдельных лиц и организации. Эти атаки могут включать фишинговые кампании, которые заманивают посетителей на поддельные веб-сайты, программы-вымогатели и специальный вредоносный код. Также возможна выдача преступником себя за учетную запись или захват ее, что часто приводит к компрометации деловой электронной почты.
Как можно использовать ИИ для создания высокоэффективных кибератак?
1. Программы-вымогатели, вредоносное ПО и спам.
ChatGPT используется многими разработчиками для написания кода. Даже хакеры нашли способ манипулировать ограждениями, то есть механизмами контроля, так что запросы их вредоносного кода не распознаются как таковые. По оценкам экспертов, ChatGPT обладает потенциалом для написания необнаружимого вредоносного кода, который может обеспечить внедрение и мутацию кода.
Вредоносный код, созданный искусственным интеллектом, экономит время и упрощает работу. Это дает даже неопытным хакерам быстрый доступ к мощному вредоносному коду. По мнению специалистов, ChatGPT способен создать код-вымогатель, способный зашифровать не часть, а всю систему компании.
Вы также можете спамить - запускайте кампании с помощью ИИ, чтобы улучшить рабочий процесс и оптимизировать копирайтинг более эффективно, чем когда-либо прежде. Даже виртуальные помощники на основе ИИ не застрахованы от злоупотреблений. Манипулирование ими осуществляется посредством косвенного внедрения подсказок, при котором поведение ИИ изменяется с помощью текста, спрятанного хакерами на веб-сайте. Это позволяет обойти политику конфиденциальности помощника и передать конфиденциальные данные.
2. Фишинговые атаки
Одним из наиболее важных факторов успеха фишинговой атаки является ее персонализация и достоверность. В настоящее время лучший способ распознать фишинговое электронное письмо — это плохая грамматика и пунктуация, странный выбор слов, отсутствие заявлений об отказе от ответственности и нижних колонтитулов, а также часто странный обратный адрес.
С помощью ИИ преступники создают чистые электронные письма, которые написаны связно и без ошибок и используют язык, выбранный профессионалом. Например, они могут выдавать себя за сотрудника банка или представителя службы поддержки клиентов – идеальная имитация. Чтобы еще больше усовершенствовать и персонализировать фишинг, хакеры выводят социальную инженерию на новый уровень, добавляя личные данные, определенные ИИ, для повышения доверия.
В настоящее время уже существует тип фишинговой атаки, так называемая атака ChatGPT, цель которой состоит в том, чтобы обманом заставить жертв раскрыть свой доступ или личные данные. Например, хакеры создают фальшивую учетную запись службы поддержки клиентов на популярной платформе чата и используют ее для связи с жертвами и предложения помощи в решении проблемы. Затем они перенаправляют жертву на вредоносный веб-сайт, который, в свою очередь, собирает учетные данные для входа. Таким образом хакеры получают легкий доступ.
3. Выдача себя за другое лицо и взлом аккаунта
Чем больше информации ИИ собирает о веб-сайтах, профилях и публикациях в социальных сетях, чатах и поведении в Интернете, тем более аутентичным может выглядеть злонамеренное электронное письмо, выдаваемое за настоящее. Например, сотрудник может получить электронное письмо от обычного контактного лица компании-партнера с просьбой перевести деньги за действительно произошедшее событие.
С той же легкостью, с которой ChatGPT может генерировать текст, он также может имитировать голос и выражение лица человека. Поэтому подражание высокопоставленному менеджеру становится детской игрой. Затем это используется, например, для отправки электронного письма или чата/голосового сообщения в финансовый отдел с запросом платежа или конфиденциальных данных.
В отличие от выдачи себя за другое лицо, захват учетной записи представляет собой реальный захват учетной записи электронной почты, который, в свою очередь, используется хакерами для получения инсайдерской информации или инициирования вредоносных действий.
4. Компрометация деловой электронной почты
Описанные выше атаки часто являются частью компрометации деловой электронной почты (BEC), целью которой обычно являются руководители. Поэтому их еще называют китобойными нападениями. Благодаря закономерностям, присущим обычным BEC, их легко обнаружить антивирусными программами. Однако сложность и уровень персонализации BEC на основе искусственного интеллекта существенно затрудняют их обнаружение.
Как защитить компанию от кибератак с использованием искусственного интеллекта?
Стопроцентное предотвращение кибератак с использованием искусственного интеллекта вряд ли возможно, но сочетание строгих мер безопасности и обучения обеспечивает оптимальную защиту для большинства компаний. Межсетевые экраны и современные программы защиты от вирусов являются абсолютно необходимым базовым оборудованием для компаний, дополненным надежными паролями, многофакторной аутентификацией и контролем доступа.
Чтобы защитить исходящие электронные письма от шпионажа и злоупотреблений, шифрование должно быть стандартным, как и технология предотвращения потери данных. Неотъемлемой частью стратегии безопасности также должна быть регулярная модернизация программного обеспечения и обновление исправлений безопасности, а также — для особо уязвимых — пен-тесты.
Мониторинг трафика электронной почты и учетных записей позволяет компаниям выявлять уязвимости и принимать решения на основе данных для оптимизации мер безопасности.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.