Бажання стати багатим — абсолютно нормальне. Тим більше якщо рекомендації з інвестування дає така досвідчена людина, як Ілон Маск. 82-річний пенсіонер Стів Бошамп побачив обличчя відомого підприємця у рекламі, зв’язався з компанією, яка її запустила, і відкрив через неї свій перший інвестиційний рахунок. Кілька сотень доларів — начебто жодних великих ризиків у разі невдачі, проте за кілька тижнів Стів втратив усі пенсійні накопичення. Він не знав, що постать Ілона Маска, за оцінками Sensity, — найпопулярніша серед кібершахраїв, які займаються створенням дипфейків, а вже найближчим часом збитки, спричинені цією технологією, будуть обчислюватися мільярдами доларів, за даними Deloitte.
Трансформація методів соціальної інженерії під впливом ШІ
Соціальна інженерія об’єднує методи психологічного маніпулювання задля того, щоб отримати конфіденційні дані чи увійти в систему з обмеженим доступом. При цьому шахраї використовують такі емоційні складники, як страх, соціальні та родинні зв’язки, невпевненість і банальну неуважність.
Відомо, що 98% кібератак здійснюють саме за допомогою соціальної інженерії. Найчастіше це фішинг через email/SMS, послуга за послугу (Quid pro quo), «медова пастка» (Honey trapping), приманка (Baiting) або «китова атака» (Whaling). Велика кількість людей хоча б раз стикалася з підробними фішинговими листами від так званих колег, телефонними дзвінками від «представників банку» і «родичів, які опинилися в біді».
На початку десятиліття кількість фішингових атак значно зросла. В Google повідомили, що в перші місяці пандемії COVID-19 було зафіксовано +350% нових фішингових сайтів. Пандемія закінчилася, але за підсумками 2023 року кількість спроб використати методи соціальної інженерії через фішингові листи знову зросла — вже на 51% порівняно з попереднім періодом. Причина — методи кібершахраїв стали витонченішими завдяки використанню ШІ. Тепер листи та повідомлення ідеально копіюють стиль спілкування відправника.
Нікіта Веселков, керівник SOC-команди ESET в Україні, зазначив:
«Генеративний ШІ може допомогти створювати переконливий текст різними мовами з використанням локальних діалектів та особливостей, уникаючи граматичних помилок у фішингових листах. Цей недорогий спосіб створення масових шахрайських текстів дає змогу легко написати лист чи повідомлення, який може обманом змусити завантажити шкідливу програму, викрасти особисту інформацію чи кошти. Водночас підроблений контент, згенерований ШІ, кіберзлочинці можуть поширювати не лише з метою фінансової вигоди, а й для дезінформації користувачів, наприклад, через месенджери чи пости в соціальних мережах».
Якщо тексти стали більш переконливими, то голосові й аудіодипфейки вражають своєю реалістичністю, тому розпізнати підробку можуть одиниці. Голоси в телефонних розмовах звучать настільки правдиво, що абонент не сумнівається, чи дійсно потрібно виконати прохання співрозмовника — надати доступ до корпоративної системи чи переказати значну суму на термінові потреби.
Те саме стосується відео: у шахрайській схемі з викраденням пенсійних накопичень шахраї використали реальний запис, але трохи його змінили. Настільки, щоб новий текст відповідав рухам м’язів обличчя, а голос не відрізнявся від оригіналу.
Нікіта Веселков навів ще один приклад вже з українських реалій, коли фейкові відео з публічними особистостями, а саме із популярним співаком, використовували для реклами фальшивих ліків. Також він додав:
«Небезпекою є використання дипфейк-технологій під час перевірок на основі селфі та відео для створення нових облікових записів або входу у наявні. Зображення чи відео з жертвою збирають з Інтернету та завантажують в інструмент генеративного ШІ. Потім це використовують під час перевірки особи для обману систем автентифікації. Або інший кейс: шахраї організовують віртуальне викрадення людини, обманюючи родичів чи друзів жертви. За допомогою спеціального програмного забезпечення вони створюють аудіо з голосом нібито викраденого, щоб спробувати переконати близьких жертви сплатити викуп».
Генеративний ШІ, який допоміг створити фейкове відео, став справжнім прокляттям для всіх — від звичайної людини до великого бізнесу. Залишається прийняти той факт, що методи соціальної інженерії кардинально змінилися, а їхня ефективність збільшилася у кількадесят разів. Потрібно готуватися до того, що використання ШІ кіберзлочинцями стане новою реальністю. У Deloitte попереджають, що тільки в банківській сфері це призведе до витрат у розмірі $40 мільярдів до 2027 року (у 2023-му було $12 мільярдів).
Як це взагалі стало можливим? Спойлер: можливості кіберзлочинців зараз обмежуються не технічними умовами, а лише фантазією. За створенням дипфейків стоїть система, яка постійно навчається, самовдосконалюється й оновлює свою здатність обходити перевірки й обманювати комп’ютерні системи виявлення кібератак.
До речі, вони також часто побудовані на основі ШІ, машинного навчання і прогнозної аналітики. У результаті розгортається щось на кшталт битви штучних інтелектів, які воюють на боці добра і зла.
За словами Нікіти Веселкова, тепер штучний інтелект дає можливість зловмисникам здійснювати злочинні дії в більших масштабах, аніж раніше. Він додав, що шахраї можуть націлюватися на більшу кількість людей, докладаючи менше зусиль.
Демократизація інструментів для генерації підробних документів і дипфейків, більшість із яких за підпискою коштує значно менше ніж $100, призвела до того, що традиційні методи боротьби перестали бути ефективними.
Це підтверджує і статистика: за підсумками лише 2023 року кількість випадків використання аудіодипфейків у фінансовій галузі зросла на 700%! В ESET наводять схожу статистику: за останні 6 місяців 2024 року кількість інвестиційних афер зросла на 335%, а продукти компанії заблокували майже 10 тисяч фішингових вебсайтів.
Суттєву роль зараз відіграє ринок CaaS (Cybercrime-as-a-service) — «кіберзлочинність як послуга», який відкриває доступ у нішу з легкими заробітками для людей без відповідних технічних знань і досвіду. Великі кіберзлочинні угруповання вже створюють власні кастомні моделі штучного інтелекту і продають їх у даркнеті. Серед типових прикладів чат-ботів для розроблення шкідливого програмного забезпечення і хакерських атак — WormGPT і FraudGPT. Як і основні великі мовні моделі, вони постійно еволюціонують і складнішають.
Як змінилися методи боротьби з шахрайством в епоху генеративного ШІ
Стрімке впровадження інновацій у сферу кіберзлочинності не дає обнадійливих результатів для тих, хто потенційно може стати жертвою зламу методами соціальної інженерії. З одного боку, великі фінансові установи вже роблять важливі кроки, щоб знизити ризики витрат.
Один із найбільших банків світу JPMorgan почав використовувати ШІ для виявлення спроб зламу корпоративної пошти співробітників. Mastercard розробляє систему Decision Intelligence, яка допоможе запобігти шахрайству з кредитними картками — вона аналізує велику кількість даних, щоб підтвердити легальність транзакції. Проте чи є ці способи ефективними у випадку з точковою персоналізованою дією, спрямованою на людину — найслабшу ланку навіть у найсучаснішій системі кіберзахисту?
Щоб послабити вплив людського фактора, як і раніше, потрібно підвищувати обізнаність про методи кібератак і способи захисту від них. Робити це потрібно ще інтенсивніше і регулярно, щоб у разі загрози людина правильно діяла майже автоматично. Чому це важливо: способи соціальної інженерії часто передбачають створення ілюзії терміновості, щоб жертва ухвалила вигідне злочинцеві рішення якомога швидше. За таких умов легко втратити пильність і пропустити важливі подробиці.
Крім того, страх перед керівником змушує підлеглих доводити справу до кінця, навіть якщо вони отримують підозрілі вказівки. Тож потрібно розвивати здатність сповільнюватися, аналізувати та ставити собі правильні запитання. Чи може конкретно цей колега просити про таку послугу? Чи запитує працівник банку код CVV на зворотному боці картки? Навіть якщо ви на 99% впевнені, що відео відправив саме колега, а з банку дійсно телефонує ваш персональний менеджер, якого ви знаєте вже кілька років, варто розвіяти сумніви щодо того 1%.
Нікіта Веселков надав поради, які будуть корисними більшості користувачів:
«Публікуючи зображення, відео й інший особистий контент, завжди враховуйте, що він може бути використаний кіберзлочинцями для створення дипфейку. Будьте обережні з друзями в соцмережах, які починають поводитися незвично. Можливо, їхній акаунт зламали зловмисники, які тепер намагаються отримати певну інформацію або виманити гроші. Остерігайтеся фішингу, зокрема перевіряйте домени відправників, пам’ятаючи, що відрізнятися може лише одна літера. І, звісно, ніколи не натискайте посилання та не відкривайте вкладення в електронних листах і месенджерах від невідомих відправників».
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
