ChatGPT و چالش امنیت سایبری؛ پیام‌های فیشینگ دیگر به‌راحتی قابل تشخیص نیستند

اداره تحقیقات فدرال ایالات متحده (FBI) برآورد کرده است که سود حاصل از حملات فیشینگ، جعل هویت و سایر کلاهبرداری‌های مشابه از طریق ایمیل، سالانه به رقمی بالغ بر شانزده میلیارد و ششصد میلیون دلار می‌رسد.

به گزارش ایتنا، کارشناسان امنیت سایبری هشدار می‌دهند که مقابله با فیشینگ مبتنی بر هوش مصنوعی، مستلزم به‌کارگیری راهبردهای جدیدی است که بیشتر به تأیید محتوای پیام توسط کاربران نهایی و پیشگیری از عبور پیام‌های مشکوک از فیلترهای امنیتی سازمان‌ها پیش از رسیدن به صندوق ورودی، متکی باشد.

به گفته متخصصان، چت‌بات‌هایی مانند ChatGPT این امکان را برای کلاهبرداران غیرانگلیسی‌زبان فراهم کرده‌اند تا پیام‌هایی بدون خطا و بسیار دقیق تهیه کنند که کاملاً مشابه پیام‌های رسمی از سوی فرستندگان معتبر به نظر می‌رسند.

در گذشته، کلاهبرداران برای ترجمه و نگارش ایمیل‌های خود از ابزارهایی چون گوگل ترنسلیت استفاده می‌کردند که اغلب ترجمه‌هایی تصنعی و تحت‌اللفظی ارائه می‌دادند و در بازتولید لحن و دستور زبان طبیعی موفق نبودند. اما اکنون، هوش مصنوعی قادر است متونی روان و دقیق به زبان‌های مختلف تولید کند، که این موضوع شناسایی پیام‌های جعلی را دشوارتر کرده است.

چستر ویسنیوسکی، مدیر امنیت میدانی جهانی در شرکت سوفوس، در گفت‌وگو با اکسیوس بیان کرد: «ایمیل‌های واقعی معمولاً شامل خطاهای تایپی یا نگارشی هستند، چراکه انسان‌ها هنگام نوشتن بی‌نقص عمل نمی‌کنند. اما پیام‌هایی که با کمک چت‌بات‌ها تولید می‌شوند، فاقد چنین خطاهایی‌اند و تشخیص آن‌ها بسیار دشوارتر است.»
 

ریچل توباک، مدیرعامل شرکت امنیتی SocialProof Security، نیز با اشاره به روش‌های جدید مجرمان سایبری اظهار داشت: «کلاهبرداران اکنون از هوش مصنوعی برای آموزش پیام‌هایشان بر اساس ایمیل‌های واقعی بانک‌ها، فروشگاه‌ها و ارائه‌دهندگان خدمات استفاده می‌کنند تا محتوایی تولید شود که شناسایی آن تقریباً غیرممکن باشد.»

وی همچنین تأکید کرد: «گاهی لحن پیام‌ها آن‌قدر طبیعی است که گویی از طرف فردی آشنا یا همکار سابق ارسال شده است.»

توباک به موردی در ایسلند اشاره کرد و گفت: «یکی از مشتریان ما که پیش از این نسبت به خطر فیشینگ احساس نگرانی نمی‌کرد، اکنون نگران شده است؛ چراکه پیش‌تر تنها حدود سیصد و پنجاه هزار نفر به زبان ایسلندی مسلط بودند، اما امروزه ابزارهای هوش مصنوعی این مرز زبانی را از میان برداشته‌اند.»

با این حال، کارشناسان بر این باورند که شناسایی پیام‌های جعلی همچنان امکان‌پذیر است. توباک توضیح می‌دهد که در تیم «قرمز» او، کاربران معمولاً زمانی به کلاهبرداری پی می‌برند که دچار نوعی «پارانویا مؤدبانه» شده و برای اطمینان بیشتر، با فرستنده پیام تماس گرفته یا برای تأیید، پیامی ارسال می‌کنند.

مایک بریتون، مدیر ارشد فناوری در شرکت Abnormal AI، هشدار می‌دهد که تهدید اصلی اینجاست که هوش مصنوعی با دقت و سرعتی بالا، قابلیت تولید محتوای بسیار متقاعدکننده‌ را دارد.

او می‌افزاید: «کلاهبرداران قادرند در عرض چند دقیقه، با استفاده از چت‌بات‌ها، پروفایلی دقیق از تیم‌های فروش شرکت‌های حاضر در فهرست فورچون ۵۰۰ تهیه کرده و بر اساس آن، ایمیل‌هایی شخصی‌سازی‌شده و باورپذیر بنویسند.»
 

بریتون همچنین افشا می‌کند که مهاجمان سایبری اکنون با استفاده از دامنه‌هایی مشابه با دامنه‌های رسمی، خود را در زنجیره‌های ایمیل موجود وارد کرده و پیام‌هایی ارسال می‌کنند که تقریباً از ایمیل‌های قانونی قابل تشخیص نیستند.

وی همچنین هشدار داد که ابزارهای ارزان‌قیمت هوش مصنوعی برای تولید دیپ‌فیک و شبیه‌سازی صدا، در آینده‌ای نزدیک، سطوح تازه‌ای از کلاهبرداری را رقم خواهند زد.

بریتون در پایان خاطرنشان کرد: «به نقطه‌ای خواهیم رسید که برای اطمینان از امنیت ارتباطات، ناچار به استفاده از کلمات رمز، تماس تصویری و کلیدهای مخفی از پیش تعیین‌شده خواهیم بود. و شاید آن زمان زودتر از آنچه انتظار داریم فرا برسد.»