Kunstig intelligens har som kjent gjort livet enklere for mange, men dessverre bidrar KI-teknologien også til å gjøre de ondsinnede aktørene langt farligere. Dette gjelder ikke minst phishing-angrep, en av de mest utbredte angrepsformene på nettet.
Sikkerhetsselskapet Malwarebytes rapporterer om en studie som viser KI-teknologien er urovekkende effektiv når det gjelder phishing-angrep.
Phishing er for ordens skyld en type svindel der angripere utgir seg for å være en legitim aktør for å lure offeret til å gi fra seg sensitiv informasjon som passord, kredittkortdetaljer eller personopplysninger. Svært ofte utføres slike angrep ved å sende ofrene troverdige e-poster med ondsinnede lenker.
Like bra som menneskelige eksperter
Den nye studien, som ble gjennomført av blant andre forskere fra Harvard University i USA, sammenlignet phishing-e-poster forfattet av mennesker med e-poster skrevet av et egendesignet KI-verktøy.
Studien benyttet såkalt «spear phishing», som betyr at angrepene baserer seg på innhenting av personlig informasjon og er rettet mot spesifikke individer.
I et eksperiment hvor phishing-e-postene ble skrevet av menneskelige sikkerhetseksperter, oppnådde forskerne en klikkrate på 54 prosent – som betyr at 54 prosent av mottakerne faktisk klikket på den ondsinnede lenken i e-posten.
Forskerne benyttet så et skreddersydd KI-verktøy til å skrive og sende phishing-e-postene på en automatisert måte, og oppnådde nøyaktig den samme klikkraten – 54 prosent.
KI-verktøyet forskerne brukte automatiserte hele phishing-prosessen, inkludert innsamlingen av personlige data fra nettet og opprettelse av en «sårbarhetsprofil» for hvert offer. Verktøyet benytte blant annet kjente KI-språkmodeller som Claude 3.5 Sonnet og Open AIs GPT-4o.
IBM testet: – Én type nettkriminalitet kan ChatGPT utføre like godt som mennesker
– Utfordring for cybersikkerheten
Dataene som KI-verktøyet hentet inn om ofrene var ifølge forskerne nyttige og relevante i hele 88 prosent av tilfellene, og opprettet kun upresise sårbarhetsprofiler for 4 prosent av ofrene.
I tillegg til å ligge på nivå med menneskelige eksperter når det gjelder evnen til å lure ofrene, gjør også KI-teknologien phishing-angrepene langt mer kostnadseffektive, og dermed svært attraktive for angripere. Ifølge forskerne kan KI-teknologien gjøre phishing-aktiviteten opptil hele 50 ganger mer lønnsom.
– Våre resultater viser at avanserte KI-modeller er betydelig bedre til å utføre målrettede phishing-angrep enn de var i fjor, og presterer nå på nivå med menneskelige eksperter. Dette utgjør en utfordring for dagens cybersikkerhetssystemer, skriver forskerne og legger til:
– Etter hvert som modellene utvikler seg, vil deres evne til å overbevise sannsynligvis også øke. Vi finner at språkmodelldrevne, målrettede phishing-angrep er svært effektive og økonomisk lønnsomme, med automatisert rekognosering som gir nøyaktig og nyttig informasjon i nesten alle tilfeller.
Flere detaljer kan man finne i selve forskningsdokumentet.
Stor rapport: Folk lures fremdeles av denne «enkle» hackemetoden – slik foregår angrepene
