Raport Cyberbezpieczeństwo | Phishing | Czy można przeciwdziałać phishingowi, wykorzystując AI?
Jak informuje SafeAeon, amerykańska firma zajmująca się cyberbezpieczeństwem, aż 91% ataków zaczyna się od wiadomości phishingowej. Straty, poniesione w wyniku takiego ataku w 2023 r. osiągnęły jednostkową wartość średnio 4,91 mln USD. W opublikowanej październiku br. informacji Ministerstwo Cyfryzacji uznało ten rodzaj oszustwa internetowego za najczęściej spotykaną formę ataku. W 2023 r. zarejestrowano 41 423 takie przypadki, co stanowiło ponad połowę wszystkich incydentów obsłużonych przez CERT Polska (64%). To wzrost o 61% w porównaniu do 2022 r. Najczęściej wykorzystywano wizerunek serwisów, takich jak Allegro (11 161 przypadków), Facebook (5308) oraz OLX (4753). W tym roku podobnych incydentów będzie na pewno znacznie więcej. W połowie listopada CERT Polska podał, że zatrzymano ponad milion wiadomości od oszustów, zanim dotarły do odbiorców. Było to możliwe dzięki uzyskanym informacjom o podejrzanych wiadomościach, przesłanym na krótki numer 8080 i wzorcom SMS. CERT Polska przygotowuje wzorce niebezpiecznych SMS, tworzone na podstawie zgłoszeń od obywateli. Dotychczas powstało ich blisko 600, co pozwoliło zatrzymać 1 073 744 takich wiadomości. CERT Orange Polska tylko w tym roku informował m.in. o takich zagrożeniach phishingiem jak: ponowna aktywacja karty w PKO Banku Polskim w lutym, BLIK w maju, lokata w Banku Pekao i Revolut we wrześniu. W rozsyłanych wiadomościach SMS podszywano się też pod banki: Alior, BNP Paribas i Santander.
Jak się chronić?
Firma Trend Micro, specjalizująca się w cyberbezpieczeństwie, radzi by uważać na niechciane wiadomości, nawet jeśli wydają się spersonalizowane, a także być sceptycznym wobec próśb o dokonanie płatności za pośrednictwem kryptowalut lub kart podarunkowych. London School of Emerging Technology w zaleceniach dotyczących ochrony przed phishingiem radzi zwracać uwagę na zawarte w e-mailach lub wiadomościach SMS elementy psychotechniki, jak taktyka pośpiechu lub strachu. Wiadomości wyłudzające informacje często informują o zawieszeniu konta lub pilnym podjęciu działań. Towarzyszą im ogólnikowe formuły typu „Drogi Kliencie” zamiast bardziej spersonalizowanych. Podejrzenia powinny budzić również dziwne żądania, jakich oficjalnie działające podmioty z reguły nie wysuwają np. o podanie poufnych informacji za pośrednictwem e-mail lub SMS. Specjaliści zajmujący się bezpieczeństwem radzą firmom zaimplementowanie w protokołach uwierzytelniania poczty elektronicznej takich rozwiązań jak: DMARC (Domain-based Message Authentication, Reporting & Conformance), DKIM (DomainKeys Identified Mail) i SPF (Sender Policy Framework), aby zapobiec spoofingowi e-mail. Warto mieć przygotowane plany reagowania na incydenty, by powstrzymywać phishing. Choć bezpieczne bramy poczty elektronicznej (SEG) są często wykorzystywane, to nie wszyscy zgadzają się z opinią, że działają skutecznie. Dane sugerują, że połączenie uwierzytelniania wieloskładnikowego i odpowiedniego szkolenia w zakresie bezpieczeństwa w całej organizacji jest jednym z najlepszych sposobów ochrony przed atakami phishingowymi. Rzadziej zwraca się uwagę na mniej konwencjonalne działania. SafeAeon zaleca wyrobienie w organizacji nawyku zgłaszania incydentów przez pracowników. Firma radzi poinformować ich, że nie będą obwiniani, jeśli zgłoszą próby wyłudzenia informacji. Należy ułatwiać zgłaszanie przygotowując dedykowany do tego adres e-mail lub przycisk, w który można łatwo kliknąć. Jak stwierdzono, chwalenie pracowników za zgłaszanie prób wyłudzania informacji pomaga tworzyć kulturę proaktywnego podejścia do zabezpieczeń.
Czy sztuczna inteligencja może nam pomóc?
Firma Perception Point założona w 2015 r. przez trzech innowatorów, którzy służyli w elitarnych jednostkach cybernetycznych izraelskiego korpusu wywiadowczego, zwraca uwagę, że tradycyjne wskaźniki phishingu, jak słaba gramatyka i ogólne pozdrowienia w przesyłanych tekstach, nie są już wiarygodnymi oznakami fałszywej wiadomości. Generatywna sztuczna inteligencja umożliwia cyberprzestępcom tworzenie dobrze przygotowanych, spersonalizowanych wiadomości, które naśladują legalną komunikację z zaufanych źródeł. Organizacje potrzebują zaawansowanych narzędzi do ich wykrywania, które mogą analizować głębsze aspekty wiadomości, takie jak kontekst, wzorce zachowań nadawców i wskaźniki użycia dużych modeli językowych. Najlepiej wdrożyć zaawansowane rozwiązania antyphishingowe, które same wykorzystują sztuczną inteligencję. Technologie te analizują wzorce i zachowania, które wskazują na próby wyłudzenia informacji, wykraczając poza tradycyjne metody wykrywania oparte na sygnaturach. Takie rozwiązania wykorzystują LLM do identyfikowania oznak GenAI w wiadomościach i określania prawdopodobieństwa wyrafinowanego ataku phishingowego. Łączą one tradycyjną heurystykę, analizę nadawców i domen, wykrywanie oparte na GenAI, zaawansowane filtrowanie wiadomości e-mail i zdolność do uczenia się na nowych zagrożeniach. W ten sposób mechanizmy wykrywania fraudów doskonalą się w miarę rozwoju taktyki atakujących. Wskazuje się również na kontekstową obronę przed atakami przez wykorzystanie sztucznej inteligencji i uczenia maszynowego do analizy nie tylko treści wiadomości, ale także kontekstu, czasu trwania oraz relacji między nadawcą a odbiorcą. Ważne jest też wielowarstwowe podejście do bezpieczeństwa, które łączy różne środki na różnych poziomach w organizacji, aby stworzyć kompleksową strategię obrony.
Poza szkoleniem użytkowników końcowych wskazano na zalety łączenia technologii GenAI i potencjału wiedzy ludzi, specjalistów od cyberbezpieczeństwa. W artykule opublikowanym w maju przez „Harvard Business Review”, autorzy Fredrik Heiding, Bruce Schneier i Arun Vishwanath podali, iż 60% uczestników przeprowadzonych badań padło ofiarą phishingu zautomatyzowanego przez sztuczną inteligencję, co jest porównywalne ze wskaźnikami sukcesu wiadomości phishingowych tworzonych przez ekspertów. Cały proces można zautomatyzować za pomocą LLM, co zmniejsza koszty ataków o ponad 95%, osiągając jednocześnie równe lub większe wskaźniki sukcesu. Autorzy wskazali, iż GenAI może wpływać na zdolności obronne, wykorzystując cztery popularne modele LLM (GPT-4, Claude 2, PaLM i LLaMA), aby zidentyfikować phishing i przedstawić odbiorcy zalecane działania. Jak się okazało, chociaż niektóre modele językowe są dobre w wykrywaniu wiadomości phishingowych, ich wydajność różni się znacznie w przypadku różnych e-maili. Niektóre modele (w szczególności Claude) poprawnie wykrywały złośliwe intencje nawet w przypadku nieoczywistych wiadomości phishingowych, czasami przewyższając wskaźniki ich wykrywalności przez ludzi. Inne działały słabo, nie wykrywając podejrzeń nawet w oczywistych wiadomościach phishingowych. Szczególnego znaczenia nabiera wykorzystanie GenAI w przeciwdziałaniu atakom typu spear phishing. To bardziej wysublimowana forma phishingu, skierowana na konkretne osoby i grupy pracowników, głównie z dużych firm. Przed przeprowadzeniem takiego ataku przestępcy nawet przez dłuższy czas zbierają informacje o osobach będących celem oszustwa. Podszywają się pod konkretne osoby w organizacji, które ofiary ataku znają, a w wysyłanych wiadomościach często pojawiają się informacje z ich życia prywatnego, co je dodatkowo uwiarygadnia. Jeśli ofiarami są prezesi i menadżerowie dużych spółek, to taką odmianę spear phishingu określa się też jako whaling. To jedne z największych zagrożeń dla organizacji, które w wyniku udanego ataku ponoszą często bardzo duże straty. Dostosowane do konkretnych osób ataki są zwykle bardzo przekonujące. Jak podaje NVIDIA, wiadomości e-mail typu spear phishing są trudne do wykrycia ze względu na brak danych szkoleniowych dla sztucznej inteligencji. Wykorzystanie rozwiązania NVIDIA Morpheus i modelu przetwarzania języka naturalnego (NLP), wytrenowanego za pomocą syntetycznych wiadomości e-mail generowanych przez NVIDIA NeMo, pozwala zidentyfikować spear phishing znacznie szybciej. Zwiększa to dokładność ich wykrywania nawet o 21% w porównaniu z innymi metodami.
Małe modele AI, DORA i phishing
Rozwój dużych modeli językowych LLM wiąże się z bardzo dużymi inwestycjami, na które stać tylko największe firmy technologiczne na świecie, jak Microsoft, Google i Meta. W większości przypadków w biznesie przydatne są raczej małe, wyspecjalizowane modele szkolone na sprawdzonych i wyselekcjonowanych danych z danej dziedziny. Wielu producentów systemów zaczyna oferować takie produkty na rynku. W październiku br. podczas spotkania z dziennikarzami o takim kierunku rozwoju mówił Adam Góral, założyciel i prezes zarządu Asseco Poland. Grzegorz Paskudzki, dyrektor Zespołu Doradztwa Biznesowego w Asseco Poland przedstawił, wykorzystującą GenAI, aplikację DORA.ai. Aplikacja ma wspierać wdrożenie unijnego aktu w sprawie operacyjnej odporności cyfrowej (DORA), w tym przypadku nawet w małych bankach spółdzielczych. Dzięki wykorzystaniu małego wyspecjalizowanego modelu AI można np. identyfikować i analizować luki pomiędzy wewnętrzną dokumentacją a wymaganiami regulacji. System przygotowuje szczegółowy raport z prawie 300 punktów kontrolnych zweryfikowanych przez sztuczną inteligencję i skompilowanych w odpowiedzi z odniesieniami do dokumentów źródłowych. DORA.ai robi to, co zrobiłby zespół konsultantów biznesowych, prawników, specjalistów ds. bezpieczeństwa i menadżerów ds. ryzyka. Przeciwdziałanie takim zagrożeniom to również ważny element operacyjnej odporności cyfrowej. Banki w celu zapewnienia zgodności z wymaganiami DORA muszą wszak zwiększać bezpieczeństwo poczty e-mail. Chodzi np. o ograniczanie ryzyka phishingu poprzez wykrywanie, identyfikowanie i eliminowanie zagrożeń bezpieczeństwa poczty elektronicznej w czasie rzeczywistym. Na rynku dostępne są narzędzia, które pozwalają instytucjom finansowym monitorować zagrożenia związane z pocztą e-mail, dokumentować incydenty i generować raporty, które spełniają wymagania sprawozdawcze DORA. Jednym z nich jest rozwiązanie firmy Cofense, która zobowiązuje się do spełnienia wymagań DORA dla dostawców usług ICT do stycznia 2025 r.
Należy mieć na uwadze, że po drugiej stronie działają zorganizowane grupy. Zespół Egress Threat Intelligence przeanalizował rodzaje zestawów narzędzi do wyłudzania informacji dostępnych w Darknecie, z których wiele korzysta z modeli opartych na subskrypcji. Klienci mogą korzystać z ulepszeń i odświeżać swoje ataki na bieżąco dzięki listom zablokowanych treści. Te wyrafinowane zestawy narzędzi wykorzystują różne techniki i taktyki, od ataków szablonowych po polimorficzne treści i często zawierają także funkcje zapewniania jakości i obsługi klienta. 46% analizowanych zestawów takich narzędzi oferuje nawet gwarancję dostarczalności do odbiorców wiadomości, wysyłanych przez przestępców pocztą elektroniczną. Sprawcy zapewniają, że ataki ominą natywne zabezpieczenia oraz bezpieczne bramy poczty e-mail (SEC) Microsoft 365. Większość z nich zapewnia nawet wsparcie 24 godziny na dobę, 7 dni w tygodniu za pośrednictwem platform do komunikacji, takich jak Gpg4win, Telegram, Signal i WhatsApp. Zdarza się i tak, że dostawca hakerskich narzędzi przewiduje… zwrot pieniędzy w przypadku niespełnienia zobowiązań podanych w ofercie. Dlatego każde działanie, które wspiera walkę z phishingiem, jest ważne. Ministerstwo Cyfryzacji w październiku wprowadziło w aplikacji mObywatel 2.0 nową funkcję zgłaszania incydentów bezpieczeństwa. Pozwala ona na raportowanie podejrzanych stron internetowych, e-maili czy SMS-ów. Zgłoszenia te trafiają bezpośrednio do ekspertów z CERT Polska, którzy zajmują się ich analizą i eliminacją zagrożeń.
