by ffclavis
Bookmark

Usando IA para criar e dimensionar o Spear Phishing

O problema com o spear phishing é que leva tempo e criatividade para criar e-mails de phishing atraentes individualizados. Os pesquisadores estão usando o GPT-3 para tentar resolver esse problema:

O problema com o spear phishing é que leva tempo e criatividade para criar e-mails de phishing atraentes individualizados. Os pesquisadores estão usando o GPT-3 para tentar resolver esse problema:

Os pesquisadores usaram a plataforma GPT-3 da OpenAI em conjunto com outros produtos AI-as-a-service focados na análise de personalidade para gerar e-mails de phishing adaptados às experiências e características de seus colegas. O aprendizado de máquina com foco na análise de personalidade visa prever as tendências e a mentalidade de uma pessoa com base em informações comportamentais. Ao executar os resultados por meio de vários serviços, os pesquisadores foram capazes de desenvolver um pipeline que preparou e refinou os e-mails antes de enviá-los. Eles dizem que os resultados soaram “estranhamente humanos” e que as plataformas automaticamente forneceram especificações surpreendentes, como mencionar uma lei de Singapura quando instruída a gerar conteúdo para pessoas que moram naquela região.

Embora tenham ficado impressionados com a qualidade das mensagens sintéticas e com quantos cliques receberam de colegas em comparação com as compostas por humanos, os pesquisadores observaram que o experimento foi apenas um primeiro passo. O tamanho da amostra era relativamente pequeno e o grupo alvo era bastante homogêneo em termos de emprego e região geográfica. Além disso, tanto as mensagens geradas por humanos quanto as geradas pelo pipeline de IA como serviço foram criadas por funcionários internos, e não por invasores externos que tentam obter o tom certo mesmo estando de longe.

Segundo Schneier, é apenas uma questão de tempo antes que isso seja realmente eficaz. “Combine este processo usando a IA com a síntese de voz e vídeo, e você terá alguns cenários bastante assustadores. O risco real não é que os e-mails de phishing gerados por IA sejam tão bons quanto os gerados por humanos, mas que eles podem ser gerados em uma escala muito maior”.

O uso indiscriminado da IA pode gerar riscos ainda não estimados pela maioria e deve haver questionamentos e debates aprofundados pela sociedade.

Apresentação e slides Defcon.

Fonte: www.schneier.com

Posts relacionados: Microsoft alerta: campanha de spear-phishing tem como alvo Office 365 / Ataques de phishing: defendendo a sua organização e 47% de aumento de phishing no primeiro trimestre de 2021