3 cyberzagrożenia spotęgowane przez sztuczną inteligencję i jak się przed nimi chronić?

Podczas gdy główny nurt sztucznej inteligencji opracowany przez organizacje takie jak OpenAI i Google zawsze będzie zawierał zabezpieczenia, które mają na celu zapobieganie niewłaściwemu użyciu, przestępcy zawsze znajdą sposób na uzbrojenie potężnego narzędzia do własnych celów. "Atakujący, którzy są dobrzy w inżynierii społecznej lub sztuce manipulacji w złych celach, prawdopodobnie znajdą sposoby na wykorzystanie każdego dużego modelu językowego" - mówi Kankaala.

Model sztucznej inteligencji LLaMA firmy Meta wyciekł na początku 2023 roku i wkrótce pojawił się na anonimowym forum dyskusyjnym 4Chan. Rozprzestrzenianie się generatywnych modeli sztucznej inteligencji bez zabezpieczeń lub takich, gdzie zostały one usunięte, wydaje się nieuniknione.

"Cyberprzestępcy będą wykorzystywać sztuczną inteligencję w taki sam sposób, w jaki wykorzystują sieć WWW, pocztę e-mail, urządzenia mobilne i media społecznościowe - czyli w każdy możliwy sposób". Laura Kankaala, Threat Intelligence Lead w F-Secure. "Oczywiście, podobnie jak w przypadku każdej nowej, przełomowej technologii lub innowacji, istnieje ogromne ryzyko niewłaściwego wykorzystania, nieetycznego zachowania oraz potencjalnego wpływu na środowisko i społeczeństwo".

Innymi słowy, ta sama technologia, która prawdopodobnie przekształci branże, da również cyberprzestępcom potężne nowe korzyści, jeśli chodzi o tworzenie oszustw, złośliwego oprogramowania i zagrożeń, których nawet nie potrafimy sobie jeszcze wyobrazić. Być może już doświadczyłeś, jak sztuczna inteligencja ułatwia życie atakującym - w skrzynce odbiorczej, poczcie głosowej lub kanałach mediów społecznościowych. A jeśli jeszcze tego nie doświadczyłeś, prawie na pewno tego nie unikniesz. Dlatego warto się zabezpieczyć odpowiednim oprogramowaniem - Ochrona Internetu i Tożsamości to pakiet oprogramowania, które pozwoli Ci się odciąć od niebezpieczeństw płynących z sieci.

WormGPT został zidentyfikowany latem 2023 roku na forum związanym z cyberprzestępczością. Ta platforma sztucznej inteligencji tworzy niezwykle skuteczne wiadomości, które pomagają przestępcom w popełnianiu Business Email Compromise (BEC), dochodowej formy oszustw internetowych. Chociaż ta złośliwa alternatywa dla ChatGPT koncentruje się na przedsiębiorstwach, jest również skuteczna w konstruowaniu ataków phishingowych lub smishingowych, które kradną prywatne dane osób fizycznych lub nakłaniają ofiary do zainstalowania złośliwego oprogramowania

Nawet bez dostępu do tego spersonalizowanego narzędzia, przestępcy mogą korzystać z aplikacji generujących sztuczną inteligencję, takich jak ChatGPT, aby pisać profesjonalnie wyglądające wiadomości phishingowe w ciągu kilku sekund. Przestępcy potrzebują tylko kilku słów kluczowych, aby rozpocząć. Boty eliminują również błędy gramatyczne i użytkowe, które do tej pory były jedną z powszechnych cech oszustw. Dzięki sztucznej inteligencji ataki phishingowe będą coraz bardziej wyrafinowane, spersonalizowane i ostatecznie zautomatyzowane.

"Wkrótce powinieneś spodziewać się zautomatyzowanego, wieloetapowego procesu, w którym pierwsza komunikacja nie będzie zawierała linków do strony phishingowej, prośby o zrobienie czegokolwiek konkretnego, a jedynie bardzo autentyczny tekst inicjujący rozmowę" - mówi Kankaala. "I zanim się zorientujesz, jesteś uzależniony".

Ponieważ generatywna sztuczna inteligencja rozwija się tak szybko, ważniejsze niż kiedykolwiek jest używanie silnych haseł i uwierzytelniania dwuskładnikowego w celu ochrony kont przed potencjalnymi oszustami. Ważne jest również, aby chronić urządzenia przed złośliwym oprogramowaniem, ponieważ oszuści mogą próbować uzyskać dostęp do danych za pośrednictwem złośliwego programu.

"Jeśli nie jesteś wśród setek milionów osób, które wypróbowały ChatGPT, poświęć trochę czasu, aby go wypróbować". zaleca Kankaala. "Kiedy doświadczysz na własnej skórze, jak przekonujące rozmowy możesz dziś prowadzić ze sztuczną inteligencją, prawdopodobnie pomoże ci to być bardziej ostrożnym, gdy angażujesz się w czat z nieznaną stroną przez Internet. Sama ta świadomość może pomóc uniknąć potencjalnych ataków phishingowych".

Do tej pory phishing głosowy (vishing) obejmował głównie głosy i połączenia nieznajomych. Ale to się zmienia dzięki sztucznej inteligencji. Wyobraźmy sobie na przykład taką sytuację. Otrzymujesz wiadomość głosową od przyjaciela lub członka rodziny, błagającą o natychmiastowe przesłanie pieniędzy na rachunek, okup, kaucję lub inną pilną sprawę. To ich głos, więc działasz szybko. Jednak dźwięk jest sfałszowany za pomocą sztucznej inteligencji. Ale czy możesz to rozgryźć, zanim wyślesz pieniądze?

Badania sugerują, że liczba ataków vishingowych rośnie od lat, na długo przed pojawieniem się wielu popularnych narzędzi generatywnej sztucznej inteligencji. Chociaż nie ma jeszcze dowodów na powszechne nadużywanie narzędzi audio AI w oszustwach, nadal będą pojawiać się przykłady ukierunkowanych ataków wykorzystujących fałszywe głosy.

"W miarę jak moc generatywnej sztucznej inteligencji staje się coraz bardziej dostępna i wymaga ona jeszcze mniej istniejących danych głosowych do skopiowania czyjegoś głosu, te bardzo dostosowane ataki głosowe mogą stać się znacznie bardziej powszechne" - powiedział Kankaala.

Walka z oszustwami głosowymi wymaga od ludzi sceptycyzmu wobec wszystkiego - nawet kontaktu od osób, które kochamy najbardziej. Jeśli znajdziesz się w sytuacji, w której przyjaciel lub członek rodziny natychmiast potrzebuje pieniędzy, weź oddech. Pamiętaj, że teraz prawie wszystko - od głosu osoby, przez obraz, po numer telefonu - można podrobić. Jeśli możesz, zadzwoń bezpośrednio do danej osoby. Możesz kogoś zdezorientować lub przerwać głęboki sen, ale przynajmniej nie pozwolisz przestępcom wykorzystać twoich najlepszych intencji.

"Uważaj na wszelkie nieoczekiwane lub nietypowe żądania pieniędzy. Jeśli ktoś niespodziewanie prosi o karty podarunkowe, kryptowalutę lub przelew bankowy, powinieneś mieć świadomość, że metody te są używane w celu utrudnienia lub uniemożliwienia śledzenia płatności. Tak więc, kiedy tylko możesz, kup sobie najważniejszy zasób - czas. Zrób wszystko, co w twojej mocy, aby zrobić sobie przerwę i poszukać informacji na temat sytuacji, w której się znalazłeś. Może się okazać, że nie jest ona tak wyjątkowa, jak się początkowo wydaje".

Dysponując wystarczającą mocą obliczeniową i czasem, przestępcy mogą tworzyć przekonujące fałszywe obrazy i filmy za pomocą deepfake'ów, które transponują twarz na ciało innej osoby w niemal każdej sytuacji. Te fałszywe obrazy są znane jako deepfakes i zaniepokoiły nawet FBI (i wiele innych). W czerwcu 2023 r. Biuro wydało zaskakujący komunikat dotyczący usług publicznych.

"FBI nadal otrzymuje raporty od ofiar, w tym nieletnich dzieci i dorosłych, którzy nie wyrazili na to zgody, których zdjęcia lub filmy zostały zmienione na treści o charakterze jednoznacznie seksualnym" - czytamy w komunikacie. Następnie zauważono, że nastąpił "wzrost" przestępstw związanych z seksem, które obejmowały groźbę ujawnienia głęboko sfałszowanych filmów przyjaciołom rodziny.

Rosnąca dostępność tej technologii doprowadziła do eksplozji tej formy nękania, która, jak zauważa Kankaala, istnieje już od dłuższego czasu.

"Jest to często pomijana kwestia, ale powoduje poważne cierpienie psychiczne, a czasem nawet fizyczne zagrożenie dla kobiet, których zdjęcia zostały wykorzystane bez ich zgody do stworzenia aktów lub ich twarzy umieszczonych w klipach porno" - powiedziała.

I nie ma żadnych ograniczeń co do tego, jak deepfake'i mogą być wykorzystywane, czy to do nadużyć, manipulacji politycznych, czy wręcz oszustw.

Widzieliśmy już kilka przykładów deepfake'owych filmów przedstawiających Elona Muska i inne znane osoby mówiące o inwestycjach w kryptowaluty, w które nie są zaangażowane. Fałszywe filmy były również wykorzystywane do bezpośredniego proszenia ofiar o wpłatę na cele charytatywne lub w celu uzyskania szybkiego wzbogacenia się. Wraz z poprawą technologii w tym zakresie, nie tylko wzrośnie liczba takich prób oszustwa, ale prawdopodobnie również ich jakość, co sprawi, że będą one coraz trudniejsze do wykrycia.

Kankaala w większości zgadza się z radami oferowanymi przez FBI, aby uniknąć stania się - w miarę możliwości - ofiarą deepfake'ów. Sugestie te obejmują monitorowanie aktywności dzieci w mediach społecznościowych, regularne wyszukiwanie siebie w sieci oraz blokowanie ustawień prywatności i bezpieczeństwa kont w mediach społecznościowych w jak największym stopniu.

W zaleceniach FBI "wzywa również opinię publiczną do zachowania ostrożności podczas publikowania lub bezpośredniego przesyłania osobistych zdjęć, filmów i informacji identyfikujących w mediach społecznościowych, aplikacjach randkowych i innych witrynach internetowych".

Kankaala zauważa jednak, że "nie jest to żadne rozwiązanie", biorąc pod uwagę, że ludzie praktycznie żyją dziś online. "Nie jest realistyczne, aby być na przykład w aplikacji randkowej i nie mieć łatwo rozpoznawalnego zdjęcia" - powiedziała.

Chce po prostu, aby ludzie wiedzieli, że każdy, kto publikuje zdjęcia online, musi być świadomy, że mogą one zostać wykorzystane w nielegalny sposób. Nie zapobiegnie to powstawaniu deepfake'ów, ponieważ nic nie jest w stanie tego zrobić. Ale przygotowuje osoby do podjęcia praktycznych i spokojnych kroków w celu zminimalizowania szkód w przypadku nadużycia ich zdjęć.

"Najbliższe faktycznemu rozwiązaniu problemu deepfake'ów jest po prostu nieuleganie żądaniom przestępców i zgłaszanie tych incydentów organom ścigania. Faktem jest, że przestępcy ścigają wiele osób jednocześnie, więc prawdopodobnie nie mają czasu na realizację swoich gróźb, takich jak wkopywanie rodziny i przyjaciół, aby pokazać im zafałszowane obrazy. A nawet jeśli przestępcy posuną się tak daleko, jedyną rzeczą, którą możesz zrobić, jest ostrzeżenie swoich bliskich, że mogą zobaczyć fałszywe zdjęcia nago. Nie jest to idealne rozwiązanie, ale znacznie lepsze niż zachęcanie do tego rodzaju wymuszeń".

Faktem jest, że sztuczna inteligencja ma ogromny potencjał zarówno w dobrym, jak i złym kierunku. A my dopiero dotykamy zagadnienia. Aby dowiedzieć się więcej o tym zmieniającym świat temacie i jego konsekwencjach dla bezpieczeństwa online i cyfrowego, pobierz bezpłatny eBook.