Com els pirates informàtics fan servir la IA per fer-li clic en fer clic en enllaços incomplets

És possible que els usuaris de Twitter tinguin més cura sobre els enllaços que estan fent clic.

Philip Tully i John Seymour de ZeroFox van revelar a la convenció de hackers de Black Hat USA 2016 el 4 d'agost que poden utilitzar l'aprenentatge automàtic (és a dir, intel·ligència artificial) per fer que els usuaris de Twitter obren enllaços a llocs web maliciosos amb un percentatge d'èxit d'entre un 30 i un 66 per cent.

El duo va crear SNAP_R, una "xarxa neuronal recurrent que aprèn a tuitar publicacions de phishing dirigides a usuaris específics" per demostrar que la intel·ligència artificial podria ser utilitzada per ajudar en els intents de "phishing". El phishing de Spear és un intent directe de fer clic a l’usuari en fer clic en un enllaç incorrecte, en lloc d’un "phishing" normal, que llança una xarxa àmplia a través de molts usuaris (com a correus electrònics o correu brossa que demanen informació d’accés). SNAP_R, essencialment, troba un objectiu, escriu un tweet que els interessi, utilitza l’escurçador d’URL de Google per ocultar un enllaç maliciós i, a continuació, tweets al seu objectiu amb l’esperança de fer clic a l’enllaç.

"En proves de 90 usuaris, vam descobrir que el nostre marc automatitzat de phishing per llances tenia una taxa d’èxit del 30% al 66%". Tully i Seymour escriuen en un article sobre SNAP_R. "Això té més èxit que el 5-14% que es va informar prèviament a les campanyes de pesca a gran escala i és comparable al 45% que es va informar per a esforços manuals de phishing a gran escala".

La intel·ligència artificial s'utilitza sovint per ajudar a protegir les dades i no comprometre's. Seymour i Tully volien donar-li la volta per demostrar-ho, tot i que els pirates informàtics no tenen por d'AI. fer que les coses no siguin piratables, el públic general hauria de preocupar-se que els pirates informàtics puguin utilitzar eines similars contra els seus objectius.

OpenAI, un projecte recolzat per Elon Musk, que estudia la manera com la intel·ligència artificial ens afectarà en el futur, va dir al juliol que la tecnologia pot suposar un risc. "" Un ús primerenc de la IA es farà en sistemes informàtics ", va escriure OpenAI. "Ens agradaria que les tècniques de IA es defensessin contra els pirates informàtics sofisticats que fan ús intensiu dels mètodes de la IA".

Es revela com se suposa que els treballs SNAP_R "fomenten una major consciència i comprensió dels" atacs de phishing a la llança. Discutir el funcionament intern de l’eina podria ajudar a algú a trobar una manera de protegir els usuaris de Twitter contra amenaces similars, sempre que els usuaris de Twitter puguin frenar la seva curiositat i tenir més cura.

"El nostre enfocament es basa en el fet que les xarxes socials s’està convertint ràpidament en un objectiu fàcil per als atacs de pesca i enginyeria social", escriuen Seymour i Tully. "Utilitzem Twitter com la nostra plataforma a causa de la seva baixa barra per a les publicacions admissibles, la seva tolerància a la comunitat de serveis de conveniència com a enllaços escurçats, la seva API efectiva i la seva cultura generalitzada de sobreexposar informació personal".

Aquesta presentació va ser només una de les moltes que es van presentar a Black Hat USA 2016 per ajudar a la gent a entendre les amenaces de seguretat. Pot ser que no tingui un impacte tan gran com el nou programa d’administració d’errors d’Apple, però encara és bo fer un seguiment de l’evolució de les eines de pirateria.

Podeu llegir el document complet de Seymour i Tully sobre SPAN_R: