La IA de generación impulsa una oleada de ataques de correo electrónico sofisticados

Las herramientas de inteligencia artificial generativa como ChatGPT están provocando un aumento de ataques sofisticados de correo electrónico, según un informe publicado el miércoles por una empresa global de seguridad de correo electrónico basada en la nube.

Los líderes de seguridad se han preocupado por las posibilidades de ataques de correo electrónico generados por IA desde que se lanzó ChatGPT, y estamos empezando a ver esos temores validados, señaló el informe de Abnormal Security.

La compañía informó que recientemente detuvo una serie de ataques que contienen lenguaje que se sospecha fuertemente que está escrito por IA.

“Los actores de amenazas de alto nivel siempre han utilizado inteligencia artificial. La IA generativa no es gran cosa para ellos porque ya tenían acceso a herramientas para permitir este tipo de ataques”, dijo Dan Shiebler, jefe de aprendizaje automático de Abnormal y autor del informe.

"Lo que hace la IA generativa es mercantilizar ataques sofisticados para que veamos más de ellos", dijo a TechNewsWorld.

"Hemos visto un aumento en los ataques de compromiso del correo electrónico empresarial (BEC), que este tipo de tecnologías facilitan", continuó.

"El lanzamiento de ChatGPT fue un hito para los consumidores, pero el lanzamiento de GPT3 en 2020 permitió a los actores de amenazas utilizar IA en ataques de correo electrónico", añadió.

Aplicación aterradora

Mika Aalto, cofundador y director ejecutivo de Hoxhunt, un proveedor de soluciones de concientización sobre seguridad empresarial en Helsinki, dijo a TechNewsWorld que los atacantes están adoptando tecnología de inteligencia artificial para crear campañas BEC más convincentes y desarrollar kits de ataque BEC más sofisticados que luego se venden en la web oscura. .

"Según nuestra propia investigación, los ingenieros sociales humanos siguen siendo mejores en la elaboración de correos electrónicos de phishing que los grandes modelos de lenguaje, pero esa brecha se está cerrando", dijo. "Los piratas informáticos están mejorando la ingeniería rápida y eludiendo las barreras contra el uso indebido de ChatGPT para campañas BEC".

"Una aplicación bastante aterradora de esta tecnología es el reenvío iterativo de un ataque", señaló Shiebler. “

"Un sistema puede enviar un ataque, determinar si llegó a los destinatarios y, si no lo logra, modificar el ataque repetidamente", explicó. "Esencialmente, aprende cómo está funcionando la defensa y modifica el ataque para aprovechar eso".

En su informe, Abnormal demostró cómo se utilizó la IA generativa en tres ataques a sus clientes: un ataque de phishing de credenciales, un ataque BEC tradicional y un ataque de fraude de proveedores.

Estos tres ejemplos son sólo un pequeño porcentaje de los ataques de correo electrónico generados por la IA, que Abnormal ahora ve casi a diario, señala el informe.

Lamentablemente, continuó, a medida que la tecnología siga evolucionando, el ciberdelito evolucionará con ella y tanto el volumen como la sofisticación de estos ataques seguirán aumentando.

No más inglés fracturado

Las herramientas de IA generativa pueden aumentar la eficacia de una campaña de phishing, especialmente aquellas que se originan fuera de Estados Unidos.

"Muchos ataques de correo electrónico se originan fuera de los EE. UU. por parte de hablantes no nativos, lo que resulta en correos electrónicos con problemas gramaticales obvios y un tono de voz inusual, lo que genera sospechas por parte del destinatario", explicó Dror Liwer, cofundador de Coro, una empresa de ciberseguridad basada en la nube. empresa con sede en Tel Aviv, Israel.

"La IA generativa permite al remitente crear un correo electrónico personalizado, conversacional y extremadamente creíble que no generaría sospechas, lo que resultaría en que más usuarios caigan en la trampa", dijo a TechNewsWorld.

"El contexto y la gramática adecuados hacen que el contenido sea más creíble y menos probable que resulte sospechoso para el usuario", añadió James McQuiggan, defensor de la concientización sobre la seguridad en KnowBe4, un proveedor de capacitación en concientización sobre la seguridad en Clearwater, Florida.

"Además", dijo a TechNewsWorld, "la IA generativa puede extraer información de Internet sobre una organización para crear una campaña de phishing dirigida o más creíble".

Joey Stanford, jefe de seguridad y privacidad global de Platform.sh, una plataforma global como proveedor de servicios, señaló que los ataques por correo electrónico elaborados con IA generativa pueden parecer más realistas y convincentes porque utilizan técnicas lingüísticas sofisticadas y grandes conjuntos de datos de correos electrónicos de phishing.

"Esto permite a los delincuentes generar automáticamente correos electrónicos de phishing nuevos y atractivos que son más difíciles de detectar", dijo a TechNewsWorld. "Las herramientas de IA generativa como ChatGPT de OpenAI pueden estar detrás del aumento del 135 % en los correos electrónicos fraudulentos que utilizan estas técnicas, revelado en un informe reciente de Darktrace".

Luchando contra la IA con IA

Stanford sostuvo que las organizaciones podrían protegerse a nivel de red contra ataques de correo electrónico elaborados con IA generativa mediante el uso de herramientas de ciberseguridad con IA de autoaprendizaje. Esas herramientas, explicó, pueden detectar y responder a actividades de correo electrónico anómalas y maliciosas en tiempo real sin depender del conocimiento previo de amenazas pasadas.

"Estas herramientas también pueden ayudar a las organizaciones a educar a sus empleados sobre cómo detectar y denunciar correos electrónicos de phishing y aplicar políticas de seguridad y mejores prácticas en toda la red", afirmó.

Reconoció que esas herramientas eran nuevas y estaban en rápido desarrollo, pero combatir la IA con IA parece ser la mejor solución al problema por varias razones. Estos incluyen:

• Los ataques de IA generativa son dinámicos y adaptables y pueden evadir los modelos de seguridad tradicionales que dependen del conocimiento previo de amenazas pasadas.
• Las herramientas de inteligencia artificial de autoaprendizaje pueden detectar y responder a actividades de correo electrónico anómalas y maliciosas en tiempo real sin intervención humana ni reglas predefinidas.
• Las herramientas de inteligencia artificial también pueden analizar el contenido y el contexto de los correos electrónicos y mensajes de texto y señalar aquellos sospechosos o maliciosos para una mayor investigación o acción.
• Las herramientas de IA pueden ayudar a educar y capacitar a los equipos de seguridad y ciencia de datos para colaborar y crear un programa de seguridad de IA proactivo y holístico.

Más allá de la IA al análisis del comportamiento

Sin embargo, el problema de la IA generativa no se puede resolver a largo plazo con más IA, respondió John Bambenek, principal cazador de amenazas en Netenrich, una empresa de operaciones de seguridad digital y TI en San José, California.

"Lo que se necesita es observar lo que es normal y anormal desde el punto de vista del análisis del comportamiento y darse cuenta de que el correo electrónico es inseguro e inseguro", dijo a TechNewsWorld. "Cuanto más importa algo, menos debería depender del correo electrónico".

"La clave sigue siendo la misma: pensar dos veces antes de actuar en un correo electrónico, especialmente si se trata de algo sensible como una transacción financiera o una solicitud de autenticación", añadió.

Ya sea que un correo electrónico sea generado por una IA, un bot o un ser humano, los pasos para examinarlo siguen siendo los mismos, aconsejó McQuiggan. Un destinatario debe hacer tres preguntas: ¿Este correo electrónico es inesperado? ¿Es de alguien que no conozco? ¿Me están pidiendo que haga algo inusual o con prisa?

"Si la respuesta es sí a cualquiera de esas preguntas, tómate el tiempo extra para verificar la información en el correo electrónico", dijo.

"Tomarse unos momentos adicionales para verificar los enlaces, la fuente del correo electrónico y la solicitud puede reducir costos o recursos adicionales porque alguien hizo clic en un enlace e inició un riesgo de violación de datos para la organización", aconsejó.