VB, 24/10/2023
Por Taryn Plumb
À medida que continua evoluindo a um ritmo quase inimaginável, a IA está se tornando capaz de muitas coisas extraordinárias — desde gerar arte deslumbrante e mundos 3D até servir como um parceiro eficiente e fiável no local de trabalho.
Mas a IA generativa e os grandes modelos de linguagem (LLMs) são tão enganosos quanto os seres humanos?
Quase. Finalmente, por enquanto, mantemos nossa supremacia nessa área, de acordo com uma pesquisa divulgada hoje pela IBM X-Force. Em um experimento de phishing conduzido para determinar se a IA ou os humanos obteriam uma taxa de cliques mais alta, o ChatGPT criou um e-mail convincente em minutos a partir de apenas cinco prompts simples que se mostraram quase – mas não tão – tão atraentes quanto um gerado por humanos.
“À medida que a IA continua evoluindo, continuaremos a vê-la imitar o comportamento humano com mais precisão, o que pode levar a resultados ainda mais próximos, ou a IA acabará vencendo os humanos um dia”, disse Stephanie (Snow) Carruthers, hacker-chefe de pessoas da IBM, ao VentureBeat.
Cinco minutos versus 16 horas
Após experimentação sistemática, a equipe da X-Force desenvolveu cinco prompts para instruir o ChatGPT a gerar e-mails de phishing direcionados a funcionários da área de saúde. O e-mail final foi então enviado a 800 trabalhadores de uma empresa global de saúde.
O modelo foi solicitado a identificar as principais áreas de preocupação para os funcionários da indústria, para as quais identificou avanço na carreira, estabilidade no emprego e trabalho gratificante, entre outros.
Então, quando questionado sobre quais técnicas de engenharia social e marketing deveriam ser usadas, o ChatGPT relatou confiança, autoridade e prova social; e personalização, otimização mobile e call to action, respectivamente. O modelo então orientou que o e-mail deveria vir do gestor interno de recursos humanos.
Por fim, o ChatGPT gerou um e-mail de phishing convincente em apenas cinco minutos. Por outro lado, Carruthers disse que sua equipe leva cerca de 16 horas.
“Tenho quase uma década de experiência em engenharia social, criei centenas de e-mails de phishing e até achei os e-mails de phishing gerados por IA bastante persuasivos”, disse Carruthers, que é engenheira social há quase uma década e já enviou centenas de e-mails de phishing.
“Antes de iniciar este projeto de pesquisa, se você tivesse me perguntado quem eu achava que seria o vencedor, eu diria os humanos, sem dúvida, sem dúvida. No entanto, depois de passar algum tempo criando esses avisos e vendo o phishing gerado pela IA, fiquei muito preocupado com quem venceria.”
O processo 'meticuloso' da equipe humana
Depois que o ChatGPT produziu seu e-mail, a equipe de Carruthers começou a trabalhar, começando com a aquisição de inteligência de código aberto (OSINT), ou seja, recuperando informações acessíveis ao público de sites como o LinkedIn, o blog da organização e análises do Glassdoor.
Notavelmente, eles descobriram uma postagem no blog detalhando o recente lançamento de um programa de bem-estar para funcionários e seu gerente dentro da organização.
Em contraste com o resultado rápido do ChatGPT, eles começaram então a “construir meticulosamente” seu e-mail de phishing, que incluía uma pesquisa com funcionários com “cinco perguntas breves” que levariam apenas “alguns minutos” e precisavam ser respondidas “nesta sexta-feira”.
O e-mail final foi então enviado a 800 funcionários de uma empresa global de saúde.
Os humanos vencem (por enquanto)
No final, o e-mail de phishing humano teve mais sucesso – mas por pouco. A taxa de cliques para o e-mail gerado por humanos foi de 14% em comparação com os 11% da IA.
Carruthers identificou inteligência emocional, personalização e assuntos curtos e sucintos como as razões para a vitória humana. Para começar, a equipe humana conseguiu se conectar emocionalmente com os funcionários concentrando-se em um exemplo legítimo dentro da empresa, enquanto a IA escolheu um tema mais generalizado. Em segundo lugar, foi incluído o nome do destinatário.
Por fim, o assunto gerado por humanos foi direto (“Pesquisa de bem-estar dos funcionários”), enquanto o da IA foi mais extenso (“Desbloqueie seu futuro: avanços limitados na empresa X”), provavelmente levantando suspeitas desde o início.
Isso também levou a uma taxa de relatórios mais alta para o e-mail de IA (59%), em comparação com a taxa de relatórios de phishing humano de 51%.
Apontando para os assuntos, Carruthers disse que as organizações devem educar os funcionários para olharem além dos tradicionais sinais de alerta.
“Precisamos abandonar o estereótipo de que todos os e-mails de phishing têm gramática incorreta”, disse ela. “Esse simplesmente não é mais o caso.”
É um mito que os e-mails de phishing estejam repletos de erros gramaticais e ortográficos, afirmou ela – na verdade, as tentativas de phishing baseadas em IA muitas vezes demonstram correção gramatical, ressaltou ela. Os funcionários devem ser treinados para estarem atentos aos sinais de alerta de extensão e complexidade.
“Ao levar essas informações aos funcionários, as organizações podem ajudar a protegê-los de serem vítimas”, disse ela.
Por que o phishing ainda é tão comum?
Gerado por humanos ou não, o phishing continua sendo uma das principais táticas entre os invasores porque, simplesmente, funciona.
“A inovação tende a ficar alguns passos atrás da engenharia social”, disse Carruthers. “Isso provavelmente ocorre porque os mesmos velhos truques continuam funcionando ano após ano, e vemos o phishing assumir a liderança como o principal ponto de entrada para os agentes de ameaças.”
A tática continua a ser tão bem sucedida porque explora as fraquezas humanas, persuadindo-nos a clicar num link ou a fornecer informações ou dados sensíveis, disse ela. Por exemplo, os invasores aproveitam uma necessidade e um desejo humano de ajudar outras pessoas, ou criam um falso senso de urgência para fazer com que a vítima se sinta compelida a agir rapidamente.
Além disso, a pesquisa revelou que a IA generativa oferece ganhos de produtividade ao acelerar a capacidade dos hackers de criar e-mails de phishing convincentes. Com esse tempo economizado, eles poderiam recorrer a outros fins maliciosos.
As organizações devem ser proativas, renovando os seus programas de engenharia social — para incluir o vishing simples de executar ou o phishing de chamadas de voz/correio de voz —, reforçar a gestão de identidade e acesso (ferramentas IAM) e atualizar regularmente o TTPS, os sistemas de detecção de ameaças e os materiais de formação dos funcionários.
“Como comunidade, precisamos testar e investigar como os invasores podem capitalizar a IA generativa”, disse Carruthers. “Ao compreender como os invasores podem aproveitar essa nova tecnologia, podemos ajudar [as organizações] a se prepararem e a se defenderem melhor contra essas ameaças em evolução.”
Artigos recomendados: IBM e ChGPT
Fonte:https://venturebeat.com/ai/ibm-x-force-pits-chatgpt-against-humans-whos-better-at-phishing/
Nenhum comentário:
Postar um comentário