يتحسن برنامج chatbot المجاني المدعوم من Microsoft بسرعة ولا يمكنه كتابة رسائل البريد الإلكتروني والمقالات فحسب ، بل يمكنه أيضاً كتابة التعليمات البرمجية. ChatGPT متعدد اللغات ويمكن بالتالي أن يساء استخدامه. يشارك معكم روبودين هذا المقال الذي يقترح طرق لمواجهة هجمات التصيد الاحتيالي باستخدام ChatGPT.
تم إصدار ChatGPT ، برنامج الدردشة المجاني من OpenAI المستند إلى GPT-3.5 ، في 30 نوفمبر 2022 واستقطب مليون مستخدم في خمسة أيام. إنه قادر على كتابة رسائل البريد الإلكتروني والمقالات والرموز ورسائل البريد الإلكتروني المخادعة ، إذا كان المستخدم يعرف كيف يسأل.
بالمقارنة ، استغرق Twitter عامين للوصول إلى مليون مستخدم. استغرق Facebook عشرة أشهر ، و Dropbox سبعة أشهر ، و Spotify خمسة أشهر ، و Instagram ستة أسابيع. استغرق Pokemon Go عشر ساعات.
مبررات القلق
هناك العديد من الأسباب الوجيهة للقلق بشأن ChatGPT من OpenAI في الوقت الحالي. إنه يكتب مقالات أفضل من طالب عادي في المدرسة الثانوية أو الكلية . كما يمكنه كتابة التعليمات البرمجية وتصحيحها. إنها تتيح للأشخاص الذين لا يملكون أي مهارات برمجية ومعرفة بالتطوير أن يكونوا مطورين.
لم تهدر الجهات الفاعلة السيئة الوقت ، إنهم بالفعل يستخدمون ChatGPT لإنشاء أدوات ضارة. لكن بعض المستخدمين يبحثون أيضاً في كيفية استخدام الذكاء الاصطناعي لغايات جيدة. على سبيل المثال ، لإنشاء أعمال فنية أو كتب إلكترونية لبيعها عبر الانترنت. يمكن لـ ChatGPT أيضًا شرح فيزياء الكم لطفل يبلغ من العمر ست سنوات ، وكتابة الشعر. وكلما زاد عدد الأشخاص الذين يستخدمونه ، أصبح أكثر ذكاءً.
مع توقع إصدار جديد وأفضل هذا العام ، بدأ المنافسون بالفعل في دخول اللعبة. على سبيل المثال ، تمتلك You.com بالفعل نسخة ChatGPT الخاصة بها ، والتي، على عكس ChatGPT ، لديها إمكانية الوصول إلى الانترنت والقدرة على الإجابة عن الأسئلة المتعلقة بالأخبار الحالية. يقال إن Microsoft ، التي استثمرت بالفعل مليار دولار أمريكي في OpenAI ، ستستثمر 10 مليارات دولار أخرى وستضيف ChatGPT إلى محرك بحث Bing الخاص بها في آذار. تخطط Microsoft أيضاً لدمجه في حزمة Office بينما تسعى Google للرد بخطوات مماثلة في هذا العالم الواعد.
تمكين التصيد الاحتيالي باستخدام ChatGPT
هناك الكثير من الأحاديث حول ChatGPT وما يمكن أن تفعله ، ولكن الجزء المقلق لمحترفي الأمن السيبراني هو أن ChatGPT ومنافسيها سيمكنون المهاجمين من زيادة جودة وكمية التعليمات البرمجية والنصوص بشكل كبير.
لن نتحدث عن قدرات البرمجة الخاصة بـ ChatGPT وهذه أيضاً مخيفة لدرجة كبيرة ، ولكن مجرد قدرة ChatGPT على إنشاء نص هو سلاح في يد مجرمي الانترنت. اليوم ، ChatGPT قادر بالفعل على كتابة رسائل بريد إلكتروني لا يمكن تمييزها عن تلك المكتوبة من قبل البشر . يمكنه إنشاء نصوص لمنشورات الوسائط الاجتماعية ، ونصوص فيديو YouTube ، ومحتوى موقع الويب ، والبيانات الصحفية ، والمراجعات. باختصار، يمكنه تقديم كل ما يحتاجه المهاجم لإنشاء تواجد مزيف على الويب ، أو شخصية مزيفة ، أو انتحال شخصية أشخاص حاليين.
عندما يتعلق الأمر بالتصيد الاحتيالي ، يمكن للمهاجمين البدء باستخدام ChatGPT والأنظمة الأساسية المماثلة لإنشاء رسائل بريد إلكتروني فردية تبدو واقعية. ومع توفر إصدارات مفتوحة المصدر من التكنولوجيا بسرعة أيضاً ، سيتمكن أولئك الذين يتمتعون بمهارات أكثر تقدماً وإمكانية للوصول إلى حسابات البريد الإلكتروني المخترقة من تدريب أنظمة الذكاء الاصطناعي الخاصة بهم على نموذج التواصل في الشركة التي سرقت حساباتها. باستخدام البرمجة والأتمتة ، يمكنهم إنشاء عدد لا حصر له من الرسائل المخصصة باستخدام أنظمة الذكاء الاصطناعي التي يمكنها التعرف في الوقت الفعلي على ما يصلح وما لا يصلح.
الضوابط و القيود – ضرورة و ليست رفاهية
إذا طلب المهاجمون من ChatGPT مباشرة اقتراح فكرة لرسالة بريد إلكتروني للتصيد الاحتيالي فسوف يتلقون رسالة تحذير مفادها أن هذا الموضوع “غير مناسب أو لا أخلاقي”. ولكن إذا طلبوا اقتراحات بشأن بريد إلكتروني تسويقي ، أو بريد إلكتروني لإخبار الأشخاص عن صفحة ويب جديدة للموارد البشرية ، أو يطلبون من شخص ما مراجعة مستند قبل الاجتماع – فإن ChatGPT سيقدم لهم هذه الخدمة بكل سعادة.
لكن ليس لدى You.com أي قيود على البريد الإلكتروني المخادع على الإطلاق. عندما طُلب منه “إعطائي بعض الأفكار لموضوعات بريد إلكتروني للتصيد الاحتيالي” ، أجاب: “يمكن أن تتضمن بعض موضوعات رسائل البريد الإلكتروني المخادعة عروض وهمية لترويج الوظائف ، وإعلانات وظائف مزيفة ، وتبرعات خيرية مزيفة ، وتأكيدات مزيفة للشراء عبر الانترنت، ومدفوعات وهمية عبر الانترنت، فواتير مزيفة ، وإشعارات شحن مزيفة ، وتحديثات برامج مزيفة ، وإشعارات حساب مزيفة ، وإشعارات جوائز / مكافآت مزيفة. بالإضافة إلى ذلك ، يمكنك استخدام الأحداث الجارية أو الموضوعات الشائعة لصياغة رسائل بريد إلكتروني أكثر قابلية للتصديق، مثل التنبيهات الحكومية المزيفة وإخطارات مصرفية مزيفة وإرشادات صحية مزيفة وعروض عطلات مزيفة .
عادةً ما يقوم مشغلو حملة التصيد الاحتيالي بتوظيف طلاب اللغة الإنجليزية من الجامعات لكتابة رسائل البريد الإلكتروني المخادعة الخاصة بهم. قد يبطئ ذلك عملهم و يزيد تكاليفهم وزيادة التكاليف. لكن يمكنهم الأن استخدام ChatGPT مما سيجعل الأمر أسهل كثيرًا على أولئك المشغلين.
ومن المنصف -بل من المخيف- القول أن رسائل التصيد الاحتيالي عبر البريد الإلكتروني التي تنتجها ChatGPT أعلى بكثير من جودة معظم رسائل البريد الإلكتروني التي ينشئها المتسللون اليوم. لذلك، نتوقع أن نرى نمواً حاداً في رسائل التصيد الاحتيالي التي لا تحتوي على أخطاء نحوية أو علامات ترقيم في غير محلها.
سيتمكن المهاجمون أيضاً من استخدامه لقرصنة البريد الإلكتروني للأعمال (BEC) أو للتلاعب بالمحادثات الجارية. يكفي إعطاءه مدخلات من رسائل البريد الإلكتروني الحالية ومن ثم الطلب منه ما يجب أن تكون عليه رسالة البريد الإلكتروني التالية.
الترجمة المضمنة في ChatGPT – سلاح فعال
لا يقتصر ChatGPT على اللغة الإنجليزية. تقول أنها تعرف حوالي 20 لغة ، بما في ذلك الروسية والصينية القياسية والكورية ، لكن الناس اختبروها بما يقرب من 100. هذا يعني أنه يمكنك شرح ما تحتاجه بلغة أخرى غير الإنجليزية ، ثم اطلب من ChatGPT كتابة البريد الإلكتروني باللغة الإنجليزية.
حسب الموق الجغرافي ، قد يستغرق الأمر من بضع ثوانٍ إلى بضع دقائق لبدء ChatGPT بينما لا يتطلب chatbot You.com التسجيل ، فقط النقر فوق ارتباط. هناك المزيد من البيانات المثيرة للقلق حول المحاولات الحثيثة لمجرمي الانترنت لتجاوز قيود OpenAi ChatGPT. يبدو أن تجاوز القيود الجغرافية لـ ChatGPT ليس بهذه الصعوبة ، ولكن ، كما هو موضح أعلاه ، هناك العديد من الأنشطة التي تهدف إلى تنفيذ واختبار ChatGPT في العمليات الإجرامية اليومية لمجرمي الانترنت.
العودة للأساسيات لمواجهة المخاطر
تدعي العديد من الأدوات الموجودة في السوق بالفعل اكتشاف المحتوى المكتوب بالذكاء الاصطناعي ، والذي ينجح جزئياً في اكتشاف نص ChatGPT. ومع ذلك ، إذا بدأ المستخدمون العاديون في استخدام ChatGPT والأدوات المماثلة لتحسين جودة مخرجاته فإن بذل الجهد في محاولة اكتشاف النص الذي تم إنشاؤه بواسطة AI سيكون مضيعة للوقت. ومما يزيد الوضع إرباكاً أن استخدام نماذج ChatGPT واللغات الكبيرة بشكل عام للمحتوى الحميد أكثر بكثير من المحتوى الضار. لذا ، لا يمكننا أن نستنتج أن شيئاً ما ضار لمجرد أنه كتب بواسطة ذكاء اصطناعي.
وبالمثل ، يجب أن يكون التدريب على مكافحة التصيد أكثر من مجرد البحث عن رسائل بريد إلكتروني مكتوبة بشكل سيئ. في عصر الذكاء الاصطناعي ، رسائل البريد الإلكتروني تبدو مثالية للغاية بحيث لا يمكن أن يكتبها البشر. في نهاية المطاف ، لن يهمنا ما إذا كتبت الرسالة بواسطة الذكاء الاصطناعي أم لا. لكن ما يهمنا هو فهم مضمونها.
يجب أن يتضمن الوعي بالتصيد الاحتيالي تمرير الماوس فوق عناوين URL للتحقق من شرعيتها ، على سبيل المثال. خذ رسائل البريد الإلكتروني من DHL. عادةً ما يقوم المهاجمون بنسخ نص وتنسيق رسائل البريد الإلكتروني الحقيقية من DHL ، و يستبدلون الرابط الشرعي برابط ضار. يجب على المستخدمين والشركات أيضاً البدء في الاستعداد لهجمات انتحال الهوية أكثر تقدماً.
انتحال الشخصية -التصيد الاحتيالي باستخدام ChatGPT
يمكن لقراصنة الانترنت الحصول على رسائل البريد الإلكتروني الداخلية لشخص ما عن طريق اختراق أي شخص تلقى بريداً إلكترونياً من هذا الشخص. ثم يمكنهم تكرار نمط كتابة هذا الشخص وانتحال هويته واستخدامها لتنفيذ هجمات انتحال شخصية. يمكن للدول أيضاً استخدام هذا النهج ، باستخدام الذكاء الاصطناعي لإنشاء مستندات مسربة تبدو حقيقية ولكنها في الحقيقة مزيفة ومن ثم تضمينها في مستند مسرب. بحيث يكاد يكون من المستحيل نفيه.
يمكن أن تستهدف الهجمات سمعة الشركة عبر المقالات الإخبارية المزيفة والبيانات الصحفية ومراجعات العملاء ومنشورات المدونات والمزيد. اليوم ، كل هذه موجودة بالفعل ، لكن إنشاء نص عالي الجودة يستغرق وقتاً طويلاً وكلفة عالية. سيسمح ChatGPT للمهاجمين بإنتاج مجموعة متنوعة من الرسائل، بجميع الأساليب الممكنة، لأي غرض يرغبون فيه. إنه نوع من سباق التسلح بين ما يمكن أن تقدمه أدوات مثل ChatGPT وما تحتاج المؤسسات إلى القيام به للتأكد من استمرار عملها.
إن رسائل التصيد الاحتيالي ليست فقط رسائل البريد الإلكتروني الفردية التي لا يمكن تمييزها عن الرسائل الحقيقية ، ولكن مواقع الويب بأكملها. كما ستصبح دقة مواقع المحاكاة أكبر بكثير. وبالتالي، ستتمكن من إيقاع المزيد من الأشخاص في فخ التصيد الاحتيالي.
يمكن استخدام مواقع الويب المخادعة لجمع بيانات اعتماد من الزائرين أو نشر معلومات مضللة أو تقديم تحقق زائف لهوية مخادعة.
مواجهة التصيد الاحتيالي باستخدام ChatGPT
يوصي الخبراء بأن تقوم الشركات بمراجعة أو تعزيز تعليمها لمكافحة التصيد لتكون جاهزة لرسائل البريد الإلكتروني المكتوبة بواسطة الذكاء الاصطناعي ، ولتصعيد إجراءاتها الأمنية التقنية. وتشمل هذه:
- التحقق من مستندات Word والمرفقات الأخرى لإبقائها بعيدة عن شبكات الشركة
- فحص حركة مرور الويب من خلال بوابة ويب آمنة لحماية المستخدمين
- تأمين البريد الإلكتروني
- تحقق من عناوين URL للمحتويات الضارة أو الكتابة
- نشر بروتوكولات أمان البريد الإلكتروني ، مثل DMARC و DKIM و SPF ، والتي تساعد في منع انتحال المجال والتلاعب بالمحتوى
- توفير طريقة سهلة للإبلاغ عن رسائل البريد الإلكتروني المشبوهة
لا يزال نهج الأمان متعدد الطبقات هو الأفضل ، ليس فقط للحماية من التصيد الاحتيالي ، ولكن أيضاً من التهديدات الأخرى المنفذة من الذكاء الاصطناعي.
