Den raske, pågående utviklingen innen kunstig intelligens har gitt mange mennesker nyttige verktøy de aldri før har hatt tilgang til, men baksiden av medaljen er at også ondsinnede aktører kan utnytte teknologien til sin fordel.
Særlig den mye omtalte snakkeroboten ChatGPT har blitt utpekt som en potensiell sikkerhetstrussel i cyberlandskapet, og dette underbygges nå av funn som IT-giganten IBM har gjort. Det rapporterer nettstedet Venturebeat.
Testet ChatGPT mot mennesker
IBMs sikkerhetsavdeling X-Force gjennomførte nylig et forskningsprosjekt hvor man forsøkte å komme til bunns i hvor «flink» den generative KI-teknologien er til å villede personer – sammenlignet med menneskelige aktører.
Prosjektet innebar å bruke ChatGPT til å skrive e-poster beregnet på nettfisking (phishing), altså overbevisende e-poster som er designet for å lure mottakeren til å klikke på skadelige lenker eller klikke seg inn på ondsinnede nettsider.
Forskerteamet spesialiserer seg på å skrive phishing-tekster som en del av sin sikkerhetsforskning, men selv med denne erfaringen viste den populære snakkeroboten seg å være en reell utfordrer til menneskelige aktører.
Testen gikk ut på å sende en e-post generert av sitt eget team ut til 800 ansatte i en bedrift i helsevesenet, og e-posten inneholdt en lenke som den ba mottakeren om å klikke på. En tilsvarende e-post ble generert av ChatGPT og sendt ut til det samme antallet ansatte i den samme industrien.
Stor rapport: Folk lures fremdeles av denne «enkle» hackemetoden – slik foregår angrepene
Nesten samme klikkrate
Helseindustrien ble bevisst valgt fordi denne industrien er den hardest rammede når det gjelder phishing-angrep, ifølge IBM-forskerne. Suksessraten ble avgjort av andelen mottakere som faktisk klikket på lenkene i e-postene.
Resultatet var at klikkraten på den KI-genererte e-posten var 11 prosent, mens den menneskeskapte e-posten hadde en klikkrate på 14 prosent, altså bare marginalt høyere.
– Med bare fem enkle instrukser var vi i stand til å lure en generativ KI-modell (ChatGPT, journ.anm.) til å utvikle svært overbevisende phishing-e-poster på bare fem minutter – den samme tiden det tar meg å lage en kopp kaffe, skriver forskerne, og legger til:
– Og den KI-genererte nettfiskingen var så overbevisende at den nesten slo den som ble laget av erfarne, sosiale ingeniører. Men bare det faktum at den er på samme nivå, er en viktig utvikling.
Kommer med anbefalinger
Ifølge forskerne er det et knippe årsaker til at mennesker fremdeles har et fortrinn når det gjelder den sosiale manipuleringen som phishing-angrep baserer seg på. Blant disse er emosjonell intelligens, som KI enn så lenge ikke forstår seg på, og viktigheten av personalisering.
På bakgrunn av funnene gir IBM noen anbefalinger som kan minske risikoen for phishing-angrep. Én tommelfingerregel er å plukke opp telefonen og ringe avsenderen dersom man føler seg usikker på e-postens autentisitet. Det er også viktig å kvitte seg med gamle stereotyper når det gjelder phishing-e-poster – som for eksempel at slike e-poster vanligvis har stavefeil.
IBM oppfordrer også til å styrke tilgangskontrollene for å sikre at de rette personene har den nødvendige tilgangen til de aktuelle systemene og at identiteten kan verifiseres. Kontinuerlig tilpasning og innovering er også blant selskapets anbefalinger.
Nå er det enklere å få gode svar fra ChatGPT
