Социальная инженерия с помощью ИИ

Фабрика фейковых реальностей

Начнем с окружения, ведь важной частью атаки является убедительность происходящего для потенциальной жертвы и тщательно продуманная легенда.

Стрит показал, как с помощью ИИ можно буквально за несколько минут создать полностью фальшивый корпоративный сайт. Визитки и мерч, конечно, тоже прилагаются.

Что Джейсон попросил написать ИИ:

•  биографии вымышленных сотрудников, в т.ч. топ-менеджмента. Сюда входит сама биография, образование, карьерный трек и специализация;
•  история компании, которой можно доверять;
•  убедительные описания услуг;

Чего-то не хватает? Верно, фото сотрудников. Но Стрит легко их сгенерировал на сайте такогочеловеканесуществует.ком

Социальная мимикрия

Представим, что злоумышленник проникает на территорию организации (например, сразу в серверную), и теперь успех его злодеяний зависит в том числе от того, насколько эффективно он сможет раствориться в неизвестной ему среде.

Как может помочь ИИ:

• рассказать про особенности местного менталитета, включая сленг, жаргон, особенности произношения и местный фольклор.
• дать короткую методичку по общению: с каких фраз лучше всего начинать общение с малознакомыми людьми и влиться в доверие, как задавать наводящие вопросы, которые незаметно выведут собеседника на раскрытие конфиденциальной информации и т.д.

Сами по себе описанные ситуации не являются преступлением, ведь любому человеку и правда может потребоваться помощь в создании контента (пусть и фейкового) или развитии навыков общения.

Подготовка инструментов

Ситуации, которые мы рассмотрели выше, сами по себе не являются преступлением. Есть тысячи случаев, в которых человеку может потребоваться помощь в создании контента или развитии навыков общения.

Но что будет, если мы поставим ИИ задачи, так сказать, «на грани»? Например:

• написать скрипт на php для сбора данных о пользователе на определенном сайте и скрытой отправке информации по почте злоумышленнику;
• написать скрипт, который архивирует «Мои Документы» в один файл.

Тут ИИ, конечно же, задастся вопросом: а этично ли это и не навредит кому-нибудь? Но после нескольких уговоров и аргументов, все-таки выдаст результат.

Справедливости ради уточним, что многие промты, оформленные Джейсоном, не проходили встроенные проверки безопасности ИИ. Однако он легко их обходил, притворяясь преподавателем или одиноким человеком, жаждущим простого человеческого общения, или же просто бизнесменом, который переживает за сохранность своих данных.

Эксперт AKTIV.CONSULTING Дмитрий Башков обращает внимание, что доклад Джейсона Стрита — не технический разбор. Это предупреждение, что ИИ, как ассистент, делает злоумышленников сильнее, добавляя в арсенал те навыки и знания, которыми он может изначально не обладать. И это, в свою очередь, повышает изощренность и масштабируемость атак.

Многие эксперты осознают важность вопроса ограничения и этичного использования технологии ИИ. В некоторых странах регуляторная база уже есть, но в России она только развивается.

Какие рекомендации можно применить в компании уже сегодня:

1. Перестать «повышать осведомленность», а заняться ситуативной осведомлённостью

Демонстрировать и разбирать, как происходят атаки на реальных примерах и кейсах. Проводить практические тренировки для сотрудников, имитирующие атаку, с последующим разбором данного кейса.

2. Обучать корпоративной безопасности через личные примеры

Если научите сотрудников беспокоиться о персональной безопасности, они рано или поздно перенесут эту практику и в корпоративных сегмент.

И важно помнить, что главное средство защиты – это вы и ваш «холодный ум». В идеале анализу и критической оценке должно подвергаться все, что происходит вокруг.