Hackerlar AI'yı Nasıl Taslak Bağlantılara Tıklamak için Aldatmak İçin Kullanıyor?

Twitter kullanıcılarının, tıkladıkları bağlantılar konusunda daha dikkatli olmaları gerekebilir.

ZeroFox’tan Philip Tully ve John Seymour, 4 Ağustos’taki Black Hat USA 2016 korsanları kongresinde, Twitter kullanıcılarının yüzde 30 ile yüzde 66 arasında bir başarı oranıyla kötü amaçlı web sitelerine açık bağlantılar kurmalarını sağlamak için makine öğrenmelerini (yani yapay zeka) kullanabileceklerini açıkladı.

İkili, “zekâ phishing” girişimlerinde yardımcı olmak için yapay zekanın kullanılabileceğini kanıtlamak için “belirli kullanıcıları hedefleyen phishing paylaşımlarını tweetlemeyi öğrenen“ tekrarlayan bir sinir ağı ”olan SNAP_R'yi yarattı. Mızrak kimlik avı, kullanıcıyı, bir çok kullanıcı arasında geniş bir ağ (normal olarak oturum açma bilgisi isteyen spam veya e-posta e-postaları gibi) aktaran normal kimlik avının tersine, kötü bir bağlantıyı tıklatması konusunda kimlik avı yapma girişimidir. SNAP_R aslında bir hedef bulur, ilgi çekeceğini düşündüğü bir tweet yazar, kötü niyetli bir bağlantıyı gizlemek için Google’ın URL kısaltıcısını kullanır ve ardından bağlantıyı tıklatma umuduyla hedefinde tweetler.

“90 kişiden oluşan testlerde, otomatik mızrak avlanma çerçevemizin% 30 ile% 66 arasında bir başarı oranına sahip olduğunu tespit ettik.” Tully ve Seymour SNAP_R hakkında bir bildiri yazdı. “Bu daha önce büyük ölçekli phishing kampanyalarında bildirilen% 5-14'ten daha başarılı ve büyük ölçekli manuel mızrak phishing çabaları için bildirilen% 45 ile kıyaslanabilir.”

Yapay zeka, verilerin korunmasına yardımcı olmak için kullanılır, verilerden ödün vermez. Seymour ve Tully, hackerlar A.I.'den korkmasalar bile bunu göstermek için kafasını çevirmek istediler. işleri kırılmaz kılan halk, hackerların hedeflerine karşı benzer araçları kullanabileceğinden endişe etmelidir.

Yapay zekanın gelecekte bizi nasıl etkileyeceğini inceleyen Elon Musk destekli bir proje olan OpenAI, Temmuz ayında teknolojinin risk oluşturabileceğini belirtti. OpenAI, “AI'nın erken bir kullanımı bilgisayar sistemlerine girmektir” dedi. “AI yöntemlerini yoğun şekilde kullanan karmaşık bilgisayar korsanlarına karşı savunma yapmak için AI tekniklerinin kullanılmasını istiyoruz.”

SNAP_R'nin nasıl çalıştığını ortaya çıkarmak, mızrak avlanma saldırıları hakkında daha fazla farkındalık ve anlayışı teşvik etmelidir. Aracın iç çalışmalarını tartışmak, Twitter kullanıcılarının meraklarını azaltabilmeleri ve daha dikkatli olmaları şartıyla birinin Twitter kullanıcılarını benzer tehditlerden korumanın bir yolunu bulmasına yardımcı olabilir.

Seymour ve Tully, “Yaklaşımımız, sosyal medyanın kimlik avı ve sosyal mühendislik saldırıları için kolay bir hedef olarak hızla ortaya çıkması gerçeğine dayanıyor” diyor. “Kabul edilebilir gönderilerdeki düşük çubuğu, kısaltılmış bağlantılar gibi uygunluk hizmetlerinin toplum toleransı, etkin API'si ve yaygın kişisel bilgileri aşındırıcı kültürü nedeniyle Twitter'ı platform olarak kullanıyoruz.”

Bu sunum, insanların güvenlik tehditlerini anlamalarına yardımcı olmak için Black Hat USA 2016'da verilen birçok kişiden sadece biriydi. Apple’ın yeni hata ödül programı kadar bir etkisi olmayabilir, ancak bilgisayar korsanlığı araçlarının nasıl geliştiğini izlemek yine de iyidir.

Seymour ve Tully’nin tam metnini aşağıdaki SPAN_R’den okuyabilirsiniz: