L’intelligenza artificiale ha scritto email di phishing migliori di quelle umane in un recente test

Elaborazione del linguaggio naturale continua a trovare la sua strada in angoli inaspettati. Questa volta si tratta di email di phishing. In un piccolo studio, i ricercatori hanno scoperto che potevano utilizzare il modello linguistico di deep learning GPT-3, insieme ad altre piattaforme AI-as-a-service, per ridurre significativamente la barriera all’ingresso per la creazione di campagne di spearphishing su vasta scala.

I ricercatori hanno a lungo discusso se valga la pena per i truffatori addestrare algoritmi di apprendimento automatico che potrebbero quindi generare messaggi di phishing convincenti. I messaggi di phishing di massa sono semplici e stereotipati, dopotutto, e sono già molto efficaci. Tuttavia, i messaggi di “spearphishing” altamente mirati e personalizzati richiedono più lavoro da comporre. È qui che la PNL può tornare sorprendentemente utile.

Questa settimana alle conferenze sulla sicurezza Black Hat e Defcon a Las Vegas, un team dell’Agenzia tecnologica governativa di Singapore ha presentato un recente esperimento in cui ha inviato a 200 email mirate di phishing create da loro stessi e da altre generate da una piattaforma AI-as-a-service. dei loro colleghi. Entrambi i messaggi contenevano collegamenti che in realtà non erano dannosi ma riportavano semplicemente le percentuali di clic ai ricercatori. Sono rimasti sorpresi nello scoprire che più persone hanno fatto clic sui collegamenti nei messaggi generati dall’intelligenza artificiale rispetto a quelli scritti dall’uomo, con un margine significativo.

“I ricercatori hanno sottolineato che l’intelligenza artificiale richiede un certo livello di competenza. Ci vogliono milioni di dollari per addestrare un modello davvero valido”, afferma Eugene Lim, specialista in sicurezza informatica della Government Technology Agency. “Ma una volta che lo metti su AI-as-a-service, costa un paio di centesimi ed è davvero facile da usare: basta inserire testo, inviare testo. Non devi nemmeno eseguire il codice, gli dai solo un prompt e ti darà l’output. In questo modo si abbassa la barriera di accesso a un pubblico molto più vasto e si aumentano i potenziali bersagli per lo spearphishing. Improvvisamente ogni singola e-mail su larga scala può essere personalizzata per ogni destinatario”.

I ricercatori hanno utilizzato la piattaforma GPT-3 di OpenAI insieme ad altri prodotti AI-as-a-service incentrati sull’analisi della personalità per generare e-mail di phishing su misura per i background e le caratteristiche dei loro colleghi. L’apprendimento automatico incentrato sull’analisi della personalità mira a prevedere le inclinazioni e la mentalità di una persona sulla base di input comportamentali. Eseguendo gli output attraverso più servizi, i ricercatori sono stati in grado di sviluppare una pipeline che ha curato e perfezionato le e-mail prima di inviarle. Dicono che i risultati sembravano “stranamente umani” e che le piattaforme fornivano automaticamente dettagli sorprendenti, come menzionare una legge di Singapore quando veniva istruita a generare contenuti per le persone che vivono a Singapore.

Sebbene siano rimasti colpiti dalla qualità dei messaggi sintetici e dal numero di clic ottenuti dai colleghi rispetto a quelli composti dall’uomo, i ricercatori osservano che l’esperimento è stato solo un primo passo. La dimensione del campione era relativamente piccola e il pool target era abbastanza omogeneo in termini di occupazione e regione geografica. Inoltre, sia i messaggi generati dall’uomo che quelli generati dalla pipeline AI-as-a-service sono stati creati da addetti ai lavori piuttosto che da aggressori esterni che cercavano di trovare il tono giusto da lontano.

“Ci sono molte variabili di cui tenere conto”, afferma Tan Kee Hock, specialista in sicurezza informatica dell’Agenzia per la tecnologia governativa.

Tuttavia, i risultati hanno spinto i ricercatori a riflettere più a fondo su come l’AI-as-a-service possa svolgere un ruolo nelle campagne di phishing e spearphishing in futuro. La stessa OpenAI, ad esempio, teme da tempo il potenziale uso improprio del proprio servizio o di altri servizi simili. I ricercatori notano che questo e altri scrupolosi fornitori di AI-as-a-service hanno codici di condotta chiari, tentano di controllare le loro piattaforme per attività potenzialmente dannose o addirittura cercano di verificare in una certa misura le identità degli utenti.

“L’uso improprio dei modelli linguistici è un problema a livello di settore che prendiamo molto sul serio come parte del nostro impegno per l’implementazione sicura e responsabile dell’IA”, ha dichiarato OpenAI a WIRED in una nota. “Concediamo l’accesso a GPT-3 tramite la nostra API e esaminiamo ogni utilizzo in produzione di GPT-3 prima che venga pubblicato. Imponiamo misure tecniche, come limiti di velocità, per ridurre la probabilità e l’impatto di un uso dannoso da parte degli utenti API. I nostri sistemi di monitoraggio e audit attivi sono progettati per far emergere potenziali prove di uso improprio il prima possibile e lavoriamo continuamente per migliorare l’accuratezza e l’efficacia dei nostri strumenti di sicurezza”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *