В последнее время кажется, что разговоры об искусственном интеллекте (ИИ) ведутся повсюду. Постоянно идут дискуссии о том, что популярный чатбот ChatGPT, разработанный OpenAI, может заменить собой различные профессии, начиная от журналистов и заканчивая аналитиками и технологической индустрией, и, возможно, даже будет совершать вредоносные фишинговые атаки.
Но может ли ИИ действительно заменить человека? Именно это и попыталась выяснить компания Hoxhunt, разработчик программного обеспечения для изменения поведения в сфере кибербезопасности, проанализировав эффективность фишинговых атак, сгенерированных ChatGPT.
В ходе исследования было проанализировано более 53 000 пользователей электронной почты и проведено сравнение количества успешных фишинговых атаках, созданных людьми (социальными инженерами) и атак созданных с помощью больших языковых моделей ИИ. Согласно исследованию, потенциал ChatGPT в использовании для вредоносной фишинговой деятельности уступает социальным инженерам в виде людей, примерно на 31%.
Согласно отчету, четыре пары симуляторов атак — четыре человека и четыре ИИ — отправили 53 127 пользователям электронной почты в более чем 100 странах в сети Hoxhunt, фишинговые письма. Сообщения попадали в почтовые ящики пользователей так же, как и любое законное или вредоносное письмо.
Исследование показало, что профессиональные «красные команды» спровоцировали 4,2% кликов, в то время как ChatGPT — 2,9%. Согласно исследованию, люди по-прежнему лучше обманывают других людей, превосходя искусственный интеллект на 31%.
Важным моментом исследования является влияние обучения на вероятность стать жертвой фишинговой атаки. Исследование показало, что пользователи с большим опытом участия в программе повышения осведомленности о безопасности и изменения поведения демонстрируют значительную защиту от фишинговых атак как со стороны людей, так и со стороны электронных писем, сгенерированных искусственным интеллектом, причем частота неудач снизилась с более чем 14% у менее подготовленных пользователей до 2-4% у опытных пользователей.
«Хорошее обучение по повышению осведомленности о безопасности, фишингу и изменению поведения работает», — сказал Пири Эвист, соучредитель и технический директор компании Hoxhunt. «Наличие тренингов, которые достаточно динамичны, чтобы идти в ногу с постоянно меняющимся ландшафтом атак, будут продолжать защищать от утечек данных. Пользователи, которые активно участвуют в обучении, с меньшей вероятностью нажмут на имитацию фишинга, независимо от того, человеческое это или роботизированное происхождение».
В конечном итоге, новое исследование показывает, что ИИ может быть использован как для обучения, так и для атак на людей и может создать больше возможностей как для атакующего, так и для защищающегося.
«Люди, безусловно, являются наибольшей по численности категорией для атак и самым большим источником утечки данных, по крайней мере, 82% нарушения безопасности связаны с человеческим фактором», — говорится в отчете. «Хотя фишинговые атаки, дополненные большими языковыми моделями, пока еще не так эффективны, как человеческая социальная инженерия, этот разрыв, скорее всего, сократится, потому что ИИ уже используется злоумышленниками. Чтобы обезопасить людей и организации от атак, необходимо, чтобы тренинги по повышению осведомленности о безопасности и изменению поведения динамично развивались в соответствии с меняющимся ландшафтом угроз».
Перевод статьи: Will AI replace humans in phishing attacks?