BLOG

Todos somos el objetivo: IA generativa y la automatización del phishing selectivo

Miniatura de Jim Downey
Jim Downey
Publicado el 26 de octubre de 2023

No hace mucho tiempo, podíamos identificar los correos electrónicos de phishing por su mala ortografía, errores gramaticales y sintaxis que no estaba en inglés. Podríamos detectar tácticas genéricas y ampliamente utilizadas, como la estafa del príncipe nigeriano. La mayoría de nosotros no hemos enfrentado un ataque de phishing bien pulido y dirigido porque el costo de investigar nuestros antecedentes y crear mensajes personalizados ha sido demasiado elevado para los delincuentes. Con la IA generativa, esto está cambiando rápidamente. Como profesionales de la seguridad, debemos prepararnos para las consecuencias.

La IA generativa permite la automatización de extremo a extremo del phishing selectivo, reduciendo su costo y ampliando su uso. Piense en el trabajo que debe realizar un atacante para crear un mensaje de phishing efectivo para comprometer el correo electrónico comercial (BEC). El atacante elige un objetivo, investiga sus redes sociales, descubre sus conexiones más cercanas y detecta los intereses del objetivo. Con esta información, el atacante elabora un correo electrónico personalizado en un tono de voz destinado a evitar sospechas. El trabajo requiere un seguimiento atento de las pistas y una intuición psicológica.

¿Podría automatizarse este trabajo? Ciertamente, los atacantes automatizan el raspado de contenido de redes sociales y utilizan el credential stuffing para apoderarse de cuentas y recopilar información. Mediante la automatización, los atacantes pueden crear un gráfico de conocimiento sobre la vida de un objetivo.

Con este gráfico de conocimiento, los atacantes pueden introducir información altamente personal en un servicio similar a ChatGPT (uno sin garantías éticas) para crear mensajes de phishing dirigidos y efectivos. El atacante podría crear secuencias completas de mensajes que abarquen múltiples canales, desde el correo electrónico hasta las redes sociales, con mensajes originados en múltiples cuentas falsas, cada una con una personalidad bien diseñada generada en función de las propensiones de confianza del objetivo.

Hay indicios de que esta amenaza es inminente. Los informes sobre nuevas herramientas de ataque a la venta en la red oscura, incluidas WormGPT y FraudGPT , indican que los delincuentes han comenzado a adaptar la IA generativa a fines nefastos, incluido el phishing. Si bien el uso de esta tecnología aún no ha alcanzado la automatización de extremo a extremo a gran escala, las piezas están encajando y la dinámica económica del ciberdelito hace que su desarrollo sea casi inevitable.

Dentro de la economía del ciberdelito, existe una especialización que impulsa la innovación. El Foro Económico Mundial (FEM) estima que el ciberdelito es ahora la tercera economía más grande del mundo, detrás de Estados Unidos y China, con costos que se espera que alcancen los 8 billones de dólares en 2023 y los 10,5 billones de dólares en 2025. Como en cualquier gran economía, la economía del cibercrimen incluye proveedores con especializaciones: hay proveedores que venden credenciales robadas, proveedores que proporcionan acceso a cuentas comprometidas y proveedores que ofrecen proxy de direcciones IP sobre decenas de millones de direcciones IP residenciales.

Además, existen proveedores de phishing como servicio que ofrecen kits de herramientas completos, desde plantillas de correo electrónico hasta sitios proxy de phishing en tiempo real. (Consulte el artículo de Jay Kelley sobre cómo los sitios de phishing utilizan TLS válido para falsificar sitios reales). A medida que los proveedores compiten para ganar el negocio de los delincuentes, los premios más altos serán para aquellas organizaciones que brinden el servicio de extremo a extremo de menor costo, una dinámica que probablemente impulse la automatización del phishing selectivo. Podemos imaginar organizaciones que se especialicen en distintos tipos de recopilación de datos en torno a objetivos, agregación de datos y LLM centrados en industrias específicas o que se destaquen en distintos tipos de fraude.

Dada la probabilidad de que aumente el phishing dirigido a nuevos objetivos, las organizaciones necesitan reforzar sus prácticas antiphishing existentes.

Capacitación de nivel superior sobre concientización sobre phishing: Desde hace mucho tiempo es importante educar periódicamente a los empleados sobre los peligros del phishing, cómo reconocer correos electrónicos sospechosos y qué pasos tomar si se encuentran con un posible intento de phishing. Sin embargo, muchas organizaciones capacitan a sus empleados para reconocer los correos electrónicos de phishing por sus errores ortográficos y gramaticales. En lugar de eso, la capacitación tendrá que ser más profunda y capacitar a las personas para que estén atentas a cualquier solicitud que provenga de una fuente no confiable y no verificada. Al realizar campañas de phishing simuladas para probar la capacidad de los empleados de identificar correos electrónicos de phishing, utilice mensajes de phishing que estén bien redactados, sean profesionales, estén dirigidos a empleados específicos y provengan de fuentes que parezcan legítimas.

Defiéndase contra los servidores proxy de phishing en tiempo real: Los atacantes a menudo utilizan el phishing para eludir la autenticación multifactor (MFA) a través de servidores proxy de phishing en tiempo real. Los delincuentes utilizan el phishing para engañar a los usuarios para que ingresen sus credenciales y contraseña de un solo uso en un sitio que ellos controlan, que luego envían a la aplicação real para obtener acceso. (Para obtener más información sobre la omisión y las defensas de MFA, consulte el documento técnico: ¿MFA resuelve la amenaza de apropiación de cuentas?

Defenderse con mayor rigor contra la apropiación de cuentas: Los delincuentes obtienen el control de cuentas a gran escala mediante el credential stuffing con el uso de bots, lo que da como resultado un número masivo de apropiaciones de cuentas. Además del fraude financiero, los delincuentes recopilan datos personales adicionales mediante el scraping que pueden utilizar en otros ataques de phishing. Para defenderse eficazmente de los bots se necesita una rica recopilación de señales y aprendizaje automático.

Usa la IA para combatir la IA: Dado que los delincuentes explotan la IA generativa para cometer fraudes, las organizaciones deberían aprovechar la IA en su defensa. F5 se asocia con organizaciones para aprovechar la rica recopilación de señales y la inteligencia artificial para combatir el fraude. F5 Distributed Cloud Account Protection monitorea las transacciones en tiempo real durante toda la experiencia del usuario para detectar actividad maliciosa y brindar índices precisos de detección de fraude. Si puede detectar fraudes dentro de las aplicações, reduce el daño del phishing. (Inspeccionar el tráfico con IA requiere descifrarlo de manera eficiente, lo que se puede lograr de manera eficiente con la orquestación TLS ).

CONCLUSIÓN

La IA generativa plantea un nuevo conjunto de desafíos de seguridad . Con la aparición del phishing automatizado, necesitamos desaprender muchas de nuestras heurísticas de confianza. Si bien en el pasado podíamos confiar en las apariencias de profesionalismo, ahora necesitamos protocolos más rigurosos para determinar la veracidad de las comunicaciones. Debemos volvernos más desconfiados en esta nueva era de campañas de desinformación, falsificaciones profundas y phishing automatizado, y las organizaciones deberán implementar IA en defensa al menos tan rigurosamente como los delincuentes la usan contra nosotros.

Para seguir la evolución del panorama de amenazas, manténgase informado sobre las últimas novedades de F5 Labs . Si su organización está bajo ataque, comuníquese con F5 para obtener ayuda.