Fondasi untuk serangan rekayasa sosial – memanipulasi manusia – mungkin tidak banyak berubah selama bertahun -tahun. Vektor – bagaimana teknik ini digunakan – yang berkembang. Dan seperti kebanyakan industri hari ini, AI mempercepat evolusinya.
Artikel ini mengeksplorasi bagaimana perubahan ini memengaruhi bisnis, dan bagaimana para pemimpin keamanan siber dapat merespons.
Serangan Peniruan: Menggunakan identitas tepercaya
Bentuk pertahanan tradisional sudah berjuang untuk menyelesaikan rekayasa sosial, 'penyebab sebagian besar pelanggaran data' menurut Thomson Reuters. Generasi berikutnya dari serangan cyber bertenaga AI dan aktor ancaman sekarang dapat meluncurkan serangan ini dengan kecepatan, skala, dan realisme yang belum pernah terjadi sebelumnya.
Jalan Lama: Masker Silikon
Dengan menyamar sebagai menteri pemerintah Prancis, dua penipu dapat mengekstraksi lebih dari € 55 juta dari banyak korban. Selama panggilan video, orang akan mengenakan topeng silikon Jean-Yves Le Drian. Untuk menambahkan lapisan kepercayaan, mereka juga duduk dalam rekreasi kantor menteri dengan foto-foto Presiden François Hollande saat itu.
Lebih dari 150 angka terkemuka dilaporkan dihubungi dan meminta uang untuk pembayaran tebusan atau operasi anti-teror. Transfer terbesar yang dilakukan adalah € 47 juta, ketika target didesak untuk bertindak karena dua jurnalis yang diadakan di Suriah.
Cara Baru: Video Deepfakes
Banyak permintaan uang gagal. Lagi pula, topeng silikon tidak dapat sepenuhnya mereplikasi tampilan dan gerakan kulit pada seseorang. AI Video Technology menawarkan cara baru untuk meningkatkan bentuk serangan ini.
Kami melihat ini tahun lalu di Hong Kong, di mana para penyerang membuat video Deepfake dari CFO untuk melakukan penipuan $ 25 juta. Mereka kemudian mengundang seorang kolega untuk panggilan konferensi video. Di situlah Deepfake CFO membujuk karyawan untuk melakukan transfer multi-juta ke akun penipu.
Panggilan langsung: phishing suara
Phishing suara, sering dikenal sebagai Vishing, menggunakan audio langsung untuk membangun kekuatan phishing tradisional, di mana orang dibujuk untuk memberikan informasi yang membahayakan organisasi mereka.
Cara Lama: Panggilan Telepon Penipuan
Penyerang dapat menyamar sebagai seseorang, mungkin sosok yang berwibawa atau dari latar belakang lain yang dapat dipercaya, dan melakukan panggilan telepon ke target.
Mereka menambahkan rasa urgensi pada percakapan, meminta agar pembayaran dilakukan segera untuk menghindari hasil negatif seperti kehilangan akses ke akun atau kehilangan tenggat waktu. Korban kehilangan median $ 1.400 karena bentuk serangan ini pada tahun 2022.
Cara Baru: Kloning Suara
Rekomendasi pertahanan Vishing tradisional termasuk meminta orang untuk tidak mengklik tautan yang datang dengan permintaan, dan memanggil kembali orang tersebut dengan nomor telepon resmi. Ini mirip dengan pendekatan nol kepercayaan untuk tidak pernah percaya, selalu memverifikasi. Tentu saja, ketika suara itu berasal dari seseorang yang diketahui orang tersebut, wajar untuk kepercayaan untuk melewati masalah verifikasi apa pun.
Itulah tantangan besar dengan AI, dengan penyerang sekarang menggunakan teknologi kloning suara, sering diambil dari hanya beberapa detik dari target yang berbicara. Seorang ibu menerima telepon dari seseorang yang mengkloning suara putrinya, mengatakan dia akan diculik dan bahwa para penyerang menginginkan hadiah $ 50.000.
Email phishing
Kebanyakan orang dengan alamat email telah menjadi pemenang lotere. Setidaknya, mereka telah menerima email yang memberi tahu mereka bahwa mereka telah menang jutaan. Mungkin dengan referensi ke raja atau pangeran yang mungkin membutuhkan bantuan untuk melepaskan dana, dengan imbalan biaya di muka.
Cara Lama: Semprot dan Berdoa
Seiring waktu upaya phishing ini menjadi jauh kurang efektif, karena berbagai alasan. Mereka dikirim dalam jumlah besar dengan sedikit personalisasi dan banyak kesalahan tata bahasa, dan orang -orang lebih sadar '419 penipuan' dengan permintaan mereka untuk menggunakan layanan transfer uang tertentu. Versi lain, seperti menggunakan halaman login palsu untuk bank, seringkali dapat diblokir menggunakan perlindungan penjelajahan web dan filter spam, bersama dengan mendidik orang untuk memeriksa URL dengan cermat.
Namun, phishing tetap menjadi bentuk terbesar dari kejahatan dunia maya. Laporan Kejahatan Internet FBI 2023 menemukan phishing/spoofing adalah sumber 298.878 keluhan. Untuk memberikan beberapa konteks, yang tertinggi kedua (pelanggaran data pribadi) mendaftarkan 55.851 keluhan.
Cara Baru: Percakapan Realistis pada Skala
AI memungkinkan aktor ancaman untuk mengakses alat sempurna kata dengan memanfaatkan LLMS, alih-alih mengandalkan terjemahan dasar. Mereka juga dapat menggunakan AI untuk meluncurkan ini ke beberapa penerima pada skala, dengan kustomisasi memungkinkan bentuk phishing tombak yang lebih bertarget.
Terlebih lagi, mereka dapat menggunakan alat -alat ini dalam berbagai bahasa. Ini membuka pintu ke sejumlah wilayah yang lebih luas, di mana target mungkin tidak menyadari teknik phishing tradisional dan apa yang harus diperiksa. Harvard Business Review memperingatkan bahwa 'seluruh proses phishing dapat diotomatisasi menggunakan LLMS, yang mengurangi biaya serangan phishing lebih dari 95% sambil mencapai tingkat keberhasilan yang sama atau lebih besar.'
Ancaman yang Diinv oleh berarti menciptakan kembali pertahanan
Cybersecurity selalu berada dalam perlombaan senjata antara pertahanan dan serangan. Tetapi AI telah menambahkan dimensi yang berbeda. Sekarang, target tidak memiliki cara untuk mengetahui apa yang nyata dan apa yang palsu ketika seorang penyerang mencoba memanipulasi:
- Memercayaidengan menyamar sebagai kolega dan meminta karyawan untuk memotong protokol keamanan untuk informasi sensitif
- Menghormati otoritas Dengan berpura -pura menjadi CFO karyawan dan memerintahkan mereka untuk menyelesaikan transaksi keuangan yang mendesak
- Takut Dengan menciptakan rasa urgensi dan kepanikan berarti karyawan tidak berpikir untuk mempertimbangkan apakah orang yang mereka ajak bicara itu asli
Ini adalah bagian penting dari sifat manusia dan naluri yang telah berkembang selama ribuan tahun. Secara alami, ini bukan sesuatu yang dapat berkembang dengan kecepatan yang sama dengan metode aktor jahat atau kemajuan AI. Bentuk kesadaran tradisional, dengan kursus dan pertanyaan dan jawaban online, tidak dibangun untuk kenyataan bertenaga AI ini.
Itu sebabnya bagian dari jawaban – terutama sementara perlindungan teknis masih mengejar – adalah membuat pengalaman tenaga kerja Anda disimulasikan serangan rekayasa sosial.
Karena karyawan Anda mungkin tidak ingat apa yang Anda katakan tentang bertahan melawan serangan cyber ketika itu terjadi, tetapi mereka akan mengingat bagaimana rasanya mereka. Sehingga ketika serangan nyata terjadi, mereka sadar bagaimana merespons.
