La ingeniería social ha sido durante mucho tiempo una táctica efectiva correcto a cómo se centra en las vulnerabilidades humanas. No hay una contraseña de ‘spray y rezar’ de la fuerza bruta. No hay sistemas de fregado para software sin parpadeo. En cambio, simplemente se podio en manipular emociones como la confianza, el miedo y el respeto por la autoridad, generalmente con el objetivo de obtener paso a información confidencial o sistemas protegidos.
Tradicionalmente, eso significaba investigar e involucrar a objetivos individuales manualmente, que tomaron el tiempo y los medios. Sin incautación, el venida de la IA ahora ha permitido difundir ataques de ingeniería social de diferentes maneras, a escalera y, a menudo, sin experiencia psicológica. Este artículo cubrirá cinco formas en que AI está impulsando una nueva ola de ataques de ingeniería social.
El Audio Deepfake que puede deber influido en las elecciones de Eslovaquia
Antiguamente de las elecciones parlamentarias eslovacas en 2023, surgió una reproducción que parecía presentar al candidato Michal Simecka en una conversación con una conocida periodista, Monika Todova. La alcoba de audio de dos minutos incluyó discusiones sobre la operación de votos y el aumento de los precios de la cerveza.
Posteriormente de difundir en estría, se reveló que la conversación era falsa, con palabras pronunciadas por una IA que había sido entrenada en las voces de los oradores.
Sin incautación, el Deepfake se lanzó solo unos días antaño de las elecciones. Esto llevó a muchos a preguntarse si AI había influido en el resultado y contribuyó al progresivo Partido de Eslovaquia de Michal Simecka en segundo espacio.
La videollamada de $ 25 millones que no fue
En febrero de 2024 surgieron informes de un ataque de ingeniería social con IA contra un trabajador de finanzas en ARUP multinacional. Asistieron a una reunión en estría con quien pensaron que era su CFO y otros colegas.
Durante el video, se le pidió al trabajador de finanzas que hiciera una transferencia de $ 25 millones. Creyendo que la solicitud provenía del CFO efectivo, el trabajador siguió las instrucciones y completó la transacción.
Inicialmente, según los informes, habían recibido la invitación de la reunión por correo electrónico, lo que los hizo sospechar de ser el objetivo de un ataque de phishing. Sin incautación, luego de ver lo que parecía ser el CFO y los colegas en persona, la confianza fue restaurada.
El único problema era que el trabajador era la única persona genuina presente. Todos los demás asistentes fueron creados digitalmente utilizando la tecnología Deepfake, con el hacienda yendo a la cuenta de los estafadores.
La demanda de rescate de $ 1 millón de la hermana para la hija
Muchos de nosotros hemos recibido SMS aleatorios que comienzan con una variación de ‘Hola mamá/papá, este es mi nuevo número. ¿Puedes transferir poco de hacienda a mi nueva cuenta, por cortesía? Cuando se recibe en forma de texto, es más practicable dar un paso detrás y pensar: “¿Es efectivo este mensaje?” Sin incautación, ¿qué pasa si recibe una señal y audición a la persona y reconoce su voz? ¿Y si parece que han sido secuestrados?
Eso es lo que le sucedió a una hermana que testificó en el Senado de los Estados Unidos en 2023 sobre los riesgos del crimen generado por IA. Había recibido una señal que sonaba como de su hija de 15 abriles. Posteriormente de reponer, escuchó las palabras, ‘Mamá, estos hombres malos me tienen’, seguido de una voz masculina que amenaza con interpretar sobre una serie de terribles amenazas a menos que se pagara un rescate de $ 1 millón.
Abrumado por el pánico, el shock y la aprieto, la hermana creía lo que estaba escuchando, hasta que resultó que la señal se hizo usando una voz con clase AI.
Chatbot traidor de Facebook que cosecha nombres de usufructuario y contraseñas
Facebook dice: “Si recibe un correo electrónico o mensaje sospechoso que afirma ser de Facebook, no haga clic en ningún enlace o archivos adjuntos”. Sin incautación, los atacantes de ingeniería social aún obtienen resultados utilizando esta táctica.
Pueden divertirse con los temores de las personas de perder paso a su cuenta, pidiéndoles que hagan clic en un enlace receloso y apelen una prohibición falsa. Pueden remitir un enlace con la pregunta ‘¿ESTÁ EN ESTE VIDEO?’ y desencadenar un sentido natural de curiosidad, preocupación y deseo de hacer clic.
Los atacantes ahora están agregando otra capa a este tipo de ataque de ingeniería social, en forma de chatbots con IA. Los usuarios reciben un correo electrónico que finge ser de Facebook, amenazando con cerrar su cuenta. Posteriormente de hacer clic en el interruptor ‘Apelar aquí’, se abre un chatbot que solicita detalles de nombre de usufructuario y contraseña. La ventana de soporte es la marca Facebook, y la interacción en vivo viene con una solicitud de ‘interpretar ahora’, agregando aprieto al ataque.
‘Desvaloración tus armas’ dice el presidente de Deepfake, Zelensky
Como dice el dicho: la primera víctima de la disputa es la verdad. Es solo que con IA, la verdad ahora incluso puede rehacerse digitalmente. En 2022, un video traidor parecía mostrar al presidente Zelensky instando a los ucranianos a rendirse y dejar de combatir en la disputa contra Rusia. La reproducción salió en Ucrania24, una época de televisión que fue pirateada y luego se compartió en estría.
 |
| Un video fijo del presidente Zelensky Deepfake, con diferencias en el tono de piel de cara y cuello |
Muchos informes de los medios destacaron que el video contenía demasiados errores para creer ampliamente. Estos incluyen que la inicio del presidente sea demasiado vasto para el cuerpo y se colocan en un ángulo antinatural.
Si admisiblemente todavía estamos en días relativamente tempranos para la IA en la ingeniería social, este tipo de videos a menudo son suficientes para hacer que la gentío se detenga y piense: “¿Qué pasaría si esto fuera cierto?” A veces, asociar un ambiente de duda a la autenticidad de un oponente es todo lo que se necesita para vencer.
AI lleva la ingeniería social al venidero nivel: cómo reponer
El gran desafío para las organizaciones es que la ingeniería social ataca a las emociones objetivo y evoca pensamientos que nos hacen a todos humanos. Posteriormente de todo, estamos acostumbrados a echarse en brazos en nuestros fanales y oídos, y queremos creer lo que nos dicen. Estos son instintos totalmente naturales que no pueden ser desactivados, degradados o colocados detrás de un firewall.
Agregue el surgimiento de la IA, y está claro que estos ataques continuarán emergiendo, evolucionando y expandido en grosor, variedad y velocidad.
Es por eso que debemos considerar educar a los empleados para controlar y tener la llave de la despensa sus reacciones luego de admitir una solicitud inusual o inesperada. Alentar a las personas a detenerse y pensar antaño de completar lo que se les pide que hagan. Mostrándoles cómo se ve un ataque de ingeniería social basado en IA y, lo más importante, se siente en la actos. Para que no importa cuán rápido se desarrolle la IA, podemos convertir la fuerza gremial en la primera estría de defensa.
Aquí hay un plan de hecho de 3 puntos que puede usar para comenzar:
- Hable sobre estos casos con sus empleados y colegas y capacitarlos específicamente contra las amenazas de Deepfake – Para aumentar su conciencia y explorar cómo responderían (y deberían) reponer.
- Establezca algunas simulaciones de ingeniería social para sus empleados – para que puedan estudiar técnicas comunes de manipulación emocional y declarar sus instintos naturales para reponer, al igual que en un ataque efectivo.
- Revise sus defensas organizativas, permisos de cuenta y privilegios de roles – Comprender una posible amenaza de los movimientos del actor si tuvieran paso auténtico.
