Ako hackeri používajú AI na trik vás do kliknutia na povrchné odkazy

Používatelia služby Twitter môžu byť opatrnejší v súvislosti s odkazmi, na ktoré kliknú.

ZeroFox Philip Tully a John Seymour zverejnili na hackerskom kongrese Black Hat USA 2016 4. augusta, že môžu používať strojové učenie (t. J. Umelú inteligenciu) na to, aby používateľom služby Twitter otvorili odkazy na škodlivé webové stránky s úspešnosťou 30 až 66 percent.

Duo vytvorilo SNAP_R, „rekurentnú neurónovú sieť, ktorá sa naučí písať phishingové príspevky zacielené na konkrétnych používateľov“, aby dokázala, že umelá inteligencia by mohla byť použitá na pomoc pri pokusoch „oštepovať phishing“. Spear phishing je priamy pokus phisha používateľa o kliknutie na zlý odkaz, na rozdiel od bežného phishingu, ktorý vrhá širokú sieť naprieč mnohými užívateľmi (napríklad v reťazcoch alebo spamových e-mailoch, ktoré požadujú prihlasovacie údaje). SNAP_R nájde v podstate cieľ, píše tweet, o ktorom si myslí, že ho bude zaujímať, a použije skrátenie adresy URL spoločnosti Google na skrytie škodlivého odkazu a potom na jeho cieľovú stránku v nádeji, že klikne na odkaz.

„Na testoch, ktoré sa skladali z 90 používateľov, sme zistili, že naša automatizovaná štruktúra neoprávneného získavania údajov má medzi 30% a 66% úspešnosťou.“ Tully a Seymour píšu v novinách o SNAP_R. „Je to úspešnejšie ako 5 - 14%, ktoré boli zaznamenané v rozsiahlych phishingových kampaniach.

Umelá inteligencia sa často používa na ochranu údajov, nie na jej kompromis. Seymour a Tully sa chceli obrátiť na hlavu, aby ukázali, že aj keď sa hackeri neboja A.I. aby sa veci stali nenapadnuteľnými, široká verejnosť by sa mala obávať, že hackeri môžu používať podobné nástroje proti svojim cieľom.

OpenAI, projekt podporovaný Elonom Muskom, ktorý skúma spôsob, akým nás v budúcnosti ovplyvní umelá inteligencia, povedal v júli, že technológia môže predstavovať riziko. “„ Včasné používanie AI bude preniknúť do počítačových systémov, ”napísal OpenAI. "Chceli by sme techniky AI na obranu pred sofistikovanými hackermi, ktorí využívajú metódy AI."

Odhalenie, ako SNAP_R funguje, má „podporovať väčšie povedomie a pochopenie“ útokov typu „phishing“. Diskusia o vnútorných funkciách nástroja by mohla pomôcť niekomu nájsť spôsob, ako chrániť používateľov služby Twitter pred podobnými hrozbami, za predpokladu, že používatelia služby Twitter môžu obmedziť svoju zvedavosť a byť opatrnejší.

„Náš prístup je založený na skutočnosti, že sociálne médiá sa rýchlo rozvíjajú ako jednoduchý cieľ pre útoky phishingu a sociálneho inžinierstva,“ napíšu Seymour a Tully. „Ako našu platformu používame Twitter, pretože má nízku úroveň prípustných príspevkov, toleranciu komunitných služieb k službám, ako sú skrátené odkazy, jeho účinné API a všadeprítomnú kultúru nadmerného vystavovania osobných informácií.“ Whoops.

Táto prezentácia bola len jednou z mnohých prezentovaných na Black Hat USA 2016, aby pomohla ľuďom pochopiť bezpečnostné hrozby. Nemusí mať taký vplyv ako nový program odmeňovania spoločnosti Apple, ale je stále dobré sledovať, ako sa vyvíjajú nástroje hackingu.

Úplný dokument Seymour a Tully si môžete prečítať nižšie: