Las bases de los ataques de ingeniería social, manipulando a los humanos, podrían no deber cambiado mucho a lo prolongado de los abriles. Son los vectores, cómo se implementan estas técnicas, los que están evolucionando. Y como la mayoría de las industrias en estos días, la IA está acelerando su cambio.
Este artículo explora cómo estos cambios están afectando a los negocios y cómo pueden replicar los líderes de ciberseguridad.
Ataques de suplantación: uso de una identidad confiable
Las formas tradicionales de defensa ya estaban luchando por resolver la ingeniería social, la “causa de la mayoría de las violaciones de datos” según Thomson Reuters. La próxima coexistentes de ataques cibernéticos con IA y actores de amenaza ahora puede divulgar estos ataques con velocidad, escalera y realismo sin precedentes.
La antigua forma: máscaras de silicona
Al hacerse ocurrir por un ministro del gobierno francés, dos estafadores pudieron extraer más de 55 millones de euros de múltiples víctimas. Durante las videollamadas, uno usaría una máscara de silicona de Jean-Yves Le Drian. Para anexar una capa de credibilidad, todavía se sentaron en una entretenimiento de su oficina ministerial con fotos del entonces presidente François Hollande.
Según los informes, se contactaron más de 150 cifras prominentes y se les pidió patrimonio para pagos de rescate o operaciones antiterroristas. La maduro transferencia realizada fue de 47 millones de euros, cuando se instó al objetivo a efectuar oportuno a dos periodistas celebrados en Siria.
The New Way: Video Deepfakes
Muchas de las solicitudes de patrimonio fallaron. Posteriormente de todo, las máscaras de silicio no pueden replicar completamente el aspecto y el movimiento de la piel en una persona. AI Video Technology ofrece una nueva forma de intensificar esta forma de ataque.
Vimos esto el año pasado en Hong Kong, donde los atacantes crearon un video profundo de un CFO para aceptar a límite una estafa de $ 25 millones. Luego invitaron a un colega a una citación de videoconferencia. Ahí es donde el CFO Deepfake persuadió al empleado para que hiciera la transferencia multimillonaria a la cuenta de los estafadores.
Llamadas en vivo: phishing de voz
El phishing de voz, a menudo conocido como Vishing, utiliza audio en vivo para construir sobre el poder del phishing tradicional, donde las personas son persuadidas de dar información que compromete a su ordenamiento.
La antigua forma: llamadas telefónicas fraudulentas
El atacante puede hacerse ocurrir por alguno, tal vez una monograma autorizada o desde otro contexto confiable, y hacer una citación telefónica a un objetivo.
Agregan una sensación de aprieto a la conversación, solicitando que se realice un suscripción de inmediato para evitar resultados negativos, como perder golpe a una cuenta o perder una época linde. Las víctimas perdieron $ 1,400 a esta forma de ataque en 2022.
La nueva forma: clonación de voz
Las recomendaciones tradicionales de defensa de Vishing incluyen pedirle a las personas que no hagan clic en los enlaces que vienen con solicitudes y devolverle a la persona a un número de teléfono oficial. Es similar al enfoque cero de confianza de Never Trust, siempre verifique. Por supuesto, cuando la voz proviene de alguno que la persona conoce, es natural que la confianza elude cualquier preocupación de demostración.
Ese es el gran desafío con la IA, con atacantes que ahora usan tecnología de clonación de voz, a menudo tomada de unos pocos segundos de un objetivo que acento. Una origen recibió una citación de alguno que había clonado la voz de su hija, diciendo que sería secuestrada y que los atacantes querían una premio de $ 50,000.
Correo electrónico de phishing
La mayoría de las personas con una dirección de correo electrónico han sido un triunfador de la rifa. Al menos, han recibido un correo electrónico diciéndoles que han rebaño millones. Quizás con una narración a un rey o príncipe que pueda carecer ayuda para liberar los fondos, a cambio de una tarifa auténtico.
La vieja guisa: rociar y rezar
Con el tiempo, estos intentos de phishing se han vuelto mucho menos efectivos, por múltiples razones. Se envían a copioso con poca personalización y muchos errores gramaticales, y las personas son más conscientes de ‘419 estafas’ con sus solicitudes de usar servicios específicos de transferencia de patrimonio. Otras versiones, como el uso de páginas de inicio de sesión falsas para los bancos, a menudo se pueden cerrar utilizando protección de navegación web y filtros de spam, yuxtapuesto con la educación de las personas para que revisen la URL de cerca.
Sin secuestro, el phishing sigue siendo la maduro forma de delito cibernético. El Crónica de Delitos de Internet del FBI 2023 encontró que Phishing/Searting fue la fuente de 298,878 quejas. Para darle algún contexto, el segundo más suspensión (violación de datos personales) registró 55,851 quejas.
La nueva forma: conversaciones realistas a escalera
AI está permitiendo a los actores de amenaza consentir a herramientas perfectas de palabras al beneficiarse los LLM, en circunscripción de esperar en las traducciones básicas. Igualmente pueden usar IA para lanzarlos a múltiples destinatarios a escalera, con la personalización que permite la forma más específica de phishing de alabarda.
Encima, pueden usar estas herramientas en varios idiomas. Estos abren las puertas a un número más amplio de regiones, donde los objetivos pueden no ser tan conscientes de las técnicas de phishing tradicionales y qué compulsar. La revisión de negocios de Harvard advierte que “todo el proceso de phishing se puede automatizar utilizando LLMS, lo que reduce los costos de los ataques de phishing en más del 95% al tiempo que logran tasas de éxito iguales o mayores”.
Amenazas reinventadas significan reinventar las defensas
La ciberseguridad siempre ha estado en una carrera armamentista entre defensa y ataque. Pero la IA ha adherido una dimensión diferente. Ahora, los objetivos no tienen forma de aprender qué es vivo y qué es falsificado cuando un atacante está tratando de manipular su:
- Confianzaal hacerse ocurrir por un colega y pedirle a un empleado que evite los protocolos de seguridad para obtener información confidencial
- Respeto por la autoridad fingiendo ser el CFO de un empleado y ordenarles que complete una transacción financiera urgente
- Miedo Al crear una sensación de aprieto y pánico significa que el empleado no piensa considerar si la persona con la que está hablando es natural
Estas son partes esenciales de la naturaleza humana y el instinto que han evolucionado durante miles de abriles. Lógicamente, esto no es poco que pueda progresar a la misma velocidad que los métodos de actores maliciosos o el progreso de la IA. Las formas tradicionales de conciencia, con cursos y preguntas y respuestas en cadeneta, no están construidas para esta sinceridad alimentada por IA.
Es por eso que parte de la respuesta, especialmente mientras las protecciones técnicas aún se ponen al día, es hacer que su experiencia sindical sea la experiencia simulada de ataques de ingeniería social.
Correcto a que sus empleados no recuerdan lo que usted dice acerca de defenderse de un ataque cibernético cuando ocurra, pero recordarán cómo los hace distinguir. Para que cuando ocurra un ataque vivo, sean conscientes de cómo replicar.
