چرا فیشینگ دیپ فیک فاجعه ای است که در انتظار وقوع است

همه چیز همیشه آنطور که به نظر می رسد نیست. با پیشرفت فناوری هوش مصنوعی، افراد از آن برای تحریف واقعیت سوء استفاده کرده اند. آنها از تام کروز و مارک زاکربرگ گرفته تا پرزیدنت اوباما تصاویر و ویدیوهای مصنوعی ساخته اند. در حالی که بسیاری از این موارد استفاده بی ضرر هستند، سایر برنامه ها، مانند فیشینگ عمیق، بسیار شرورتر هستند.

موجی از عوامل تهدید از هوش مصنوعی برای تولید محتوای صوتی، تصویری و ویدیویی مصنوعی استفاده می‌کنند که برای جعل هویت افراد قابل اعتماد، مانند مدیران عامل و سایر مدیران، طراحی شده است تا کارمندان را فریب دهند تا اطلاعات را تحویل دهند.

با این حال، بیشتر سازمان‌ها به سادگی آمادگی مقابله با این نوع تهدیدات را ندارند. در سال 2021، دارین استوارت، تحلیلگر گارتنر، یک پست وبلاگی نوشت و هشدار داد که “در حالی که شرکت ها در تلاش برای دفاع در برابر حملات باج افزار هستند، هیچ کاری برای آماده شدن برای حمله قریب الوقوع رسانه های مصنوعی انجام نمی دهند.”

با پیشرفت سریع هوش مصنوعی و ارائه‌دهندگانی مانند OpenAI که دسترسی به هوش مصنوعی و یادگیری ماشین را از طریق ابزارهای جدیدی مانند ChatGPT دموکراتیزه می‌کنند، سازمان‌ها نمی‌توانند تهدیدات مهندسی اجتماعی ناشی از دیپ‌فیک‌ها را نادیده بگیرند. اگر این کار را انجام دهند، خود را در برابر نقض داده ها آسیب پذیر می کنند.

وضعیت فیشینگ عمیق در سال 2022 و پس از آن

در حالی که فناوری دیپ فیک در مراحل ابتدایی خود باقی مانده است، محبوبیت آن در حال افزایش است. مجرمان سایبری در حال حاضر شروع به آزمایش با آن برای حمله به کاربران و سازمان‌های ناآگاه کرده‌اند.

طبق گزارش مجمع جهانی اقتصاد (WEF)، تعداد ویدیوهای دیپ فیک آنلاین با نرخ سالانه 900 درصد در حال افزایش است. در همان زمان، VMware دریافت که از هر سه مدافع، دو نفر گزارش داده‌اند که دیپ‌فیک‌های مخربی را مشاهده کرده‌اند که به عنوان بخشی از یک حمله استفاده می‌شوند، که نسبت به سال گذشته 13 درصد افزایش داشته است.

این حملات می توانند به طور ویرانگری موثر باشند. به عنوان مثال، در سال 2021، مجرمان سایبری از شبیه سازی صوتی هوش مصنوعی برای جعل هویت مدیر عامل یک شرکت بزرگ استفاده کردند و مدیر بانک سازمان را فریب دادند تا 35 میلیون دلار را به حساب دیگری برای تکمیل یک “خرید” انتقال دهد.

حادثه مشابهی در سال 2019 رخ داد. یک کلاهبردار با استفاده از هوش مصنوعی به مدیر عامل شرکت انرژی بریتانیا زنگ زد تا جعل هویت مدیر اجرایی شرکت مادر آلمانی آن شرکت باشد. او درخواست انتقال فوری 243000 دلار به یک تامین کننده مجارستانی کرد.

بسیاری از تحلیلگران پیش بینی می کنند که افزایش فیشینگ عمیق فقط ادامه خواهد داشت و محتوای نادرست تولید شده توسط عوامل تهدید پیچیده تر و قانع کننده تر می شود.

وقتی فناوری دیپ فیک به بلوغ می رسد، [attacks using deepfakes] آخیله توتجا، تحلیلگر KPMG، گفت: انتظار می رود که رایج تر شده و به کلاهبرداری های جدیدتر گسترش یابد.

آنها به طور فزاینده ای از واقعیت قابل تشخیص نیستند. گفتن ویدیوهای دیپ فیک دو سال پیش آسان بود، زیرا آنها بدقول بودند [movement] کیفیت و … به نظر می رسید که شخص جعلی هرگز پلک نمی زند. اما اکنون تشخیص آن سخت‌تر و سخت‌تر می‌شود.» توتجا گفت.

Tuteja پیشنهاد می کند که رهبران امنیتی باید برای کلاهبردارانی که از تصاویر و ویدئوهای مصنوعی استفاده می کنند برای دور زدن سیستم های احراز هویت، مانند لاگین های بیومتریک، آماده شوند.

چگونه دیپ‌فیک‌ها از افراد تقلید می‌کنند و ممکن است احراز هویت بیومتریک را دور بزنند

برای اجرای یک حمله فیشینگ عمیق، هکرها از هوش مصنوعی و یادگیری ماشینی برای پردازش طیف وسیعی از محتواها، از جمله تصاویر، ویدئوها و کلیپ های صوتی استفاده می کنند. با این داده ها تقلید دیجیتالی از یک فرد ایجاد می کنند.

دیوید مهدی، مشاور CSO و CISO در Sectigo می‌گوید: «بازیگران بد می‌توانند به راحتی رمزگذارهای خودکار – نوعی شبکه عصبی پیشرفته – بسازند تا فیلم‌ها را تماشا کنند، تصاویر را مطالعه کنند و به ضبط‌های افراد گوش دهند تا ویژگی‌های فیزیکی آن‌ها را تقلید کنند.

یکی از بهترین نمونه های این رویکرد در اوایل سال جاری رخ داد. هکرها یک هولوگرام عمیق جعلی از پاتریک هیلمن، مدیر ارشد ارتباطات بایننس، با گرفتن محتوا از مصاحبه های گذشته و حضور در رسانه ها ایجاد کردند.

با این رویکرد، عوامل تهدید نه تنها می توانند ویژگی های فیزیکی یک فرد را تقلید کنند تا کاربران انسانی را از طریق مهندسی اجتماعی فریب دهند، بلکه می توانند راه حل های احراز هویت بیومتریک را نیز نادیده بگیرند.

به همین دلیل، Avivah Litan، تحلیلگر گارتنر، به سازمان‌ها توصیه می‌کند «برای برنامه‌های احراز هویت کاربر به گواهی بیومتریک اعتماد نکنند، مگر اینکه از تشخیص عمیق جعلی مؤثر استفاده کند که زنده بودن و مشروعیت کاربر را تضمین می‌کند».

لیتان همچنین خاطرنشان می کند که تشخیص این نوع حملات احتمالاً در طول زمان دشوارتر می شود زیرا هوش مصنوعی آنها پیشرفت می کند تا بتواند نمایش های صوتی و تصویری قانع کننده تری ایجاد کند.

لیتان گفت: “تشخیص دیپ فیک یک پیشنهاد بازنده است، زیرا دیپ فیک های ایجاد شده توسط شبکه مولد توسط یک شبکه تبعیض آمیز ارزیابی می شوند.” لیتان توضیح می‌دهد که هدف تولیدکننده ایجاد محتوایی است که تمایزکننده را فریب می‌دهد، در حالی که تمایزکننده به طور مداوم برای شناسایی محتوای مصنوعی بهبود می‌یابد.

مشکل این است که با افزایش دقت متمایزکننده، مجرمان سایبری می‌توانند بینش‌هایی را از این موضوع به تولیدکننده اعمال کنند تا محتوایی تولید کنند که تشخیص آن سخت‌تر است.

نقش آموزش آگاهی امنیتی

یکی از ساده‌ترین راه‌هایی که سازمان‌ها می‌توانند به فیشینگ عمیق‌فیک رسیدگی کنند، استفاده از آموزش آگاهی امنیتی است. در حالی که هیچ مقدار آموزشی نمی تواند مانع از جذب همه کارمندان توسط یک تلاش بسیار پیچیده فیشینگ شود، می تواند احتمال حوادث امنیتی و نقض را کاهش دهد.

بهترین راه برای مقابله با فیشینگ عمیق، ادغام این تهدید در آموزش آگاهی امنیتی است. جان اولتسیک، تحلیلگر ESG Global، می‌گوید همانطور که به کاربران آموزش داده می‌شود از کلیک کردن بر روی لینک‌های وب خودداری کنند، باید آموزش‌های مشابهی در مورد فیشینگ عمیق دریافت کنند.

بخشی از این آموزش باید شامل فرآیندی برای گزارش تلاش های فیشینگ به تیم امنیتی باشد.

از نظر محتوای آموزشی، FBI پیشنهاد می‌کند که کاربران می‌توانند با توجه به شاخص‌های بصری مانند اعوجاج، تاب برداشتن یا ناهماهنگی در تصاویر و ویدئو، شناسایی حملات فیشینگ نیزه‌ای عمیق و مهندسی اجتماعی را بیاموزند.

آموزش به کاربران نحوه شناسایی پرچم‌های قرمز رایج، مانند تصاویر متعدد با فاصله چشم و قرارگیری ثابت، یا همگام‌سازی مشکلات بین حرکت لب و صدا، می‌تواند به جلوگیری از گرفتار شدن آنها در طعمه یک مهاجم ماهر کمک کند.

مبارزه با هوش مصنوعی متخاصم با هوش مصنوعی دفاعی

سازمان‌ها همچنین می‌توانند با استفاده از هوش مصنوعی به فیشینگ عمیق‌فیک رسیدگی کنند. شبکه های متخاصم مولد (GANs)، نوعی مدل یادگیری عمیق، می توانند مجموعه داده های مصنوعی تولید کنند و حملات مهندسی اجتماعی ساختگی ایجاد کنند.

یک CISO قوی می‌تواند به ابزارهای هوش مصنوعی تکیه کند، به عنوان مثال، برای تشخیص تقلبی‌ها. لیز گرنان، شریک متخصص در مک کینزی، گفت: سازمان‌ها همچنین می‌توانند از GAN برای تولید انواع احتمالی حملات سایبری که مجرمان هنوز به کار نبرده‌اند استفاده کنند و راه‌هایی برای مقابله با آن‌ها قبل از وقوع ابداع کنند.

با این حال، سازمان‌هایی که این مسیرها را انتخاب می‌کنند باید آماده باشند تا زمان بگذارند، زیرا مجرمان سایبری نیز می‌توانند از این قابلیت‌ها برای ابداع انواع حملات جدید استفاده کنند.

گرنان گفت: “البته، مجرمان می توانند از GAN ها برای ایجاد حملات جدید استفاده کنند، بنابراین این به کسب و کارها بستگی دارد که یک قدم جلوتر باشند.”

مهمتر از همه، شرکت ها باید آماده باشند. سازمان‌هایی که تهدید فیشینگ دیپ‌فیک را جدی نمی‌گیرند، خود را در برابر یک بردار تهدید آسیب‌پذیر می‌کنند که با دموکراتیک شدن هوش مصنوعی و دسترسی بیشتر برای نهادهای مخرب، این پتانسیل را دارد که محبوبیت بیشتری پیدا کند.