Trường Sơn
Writer
Theo nghiên cứu mới của IBM, ChatGPT đã khá giỏi trong việc viết các email lừa đảo với nội dung tỏ ra cực đáng tin cậy, bất chấp những nỗ lực nhằm hạn chế khả năng gây hại của nó.
Các quan chức an ninh mạng và các nhà lãnh đạo ngành công nghiệp đã lâu đã cảnh báo rằng tin tặc có thể sử dụng ChatGPT và các công cụ trí tuệ nhân tạo tương tự để nhanh chóng viết các email lừa đảo có vẻ thật cho người dùng thông thường.
Nghiên cứu của IBM đại diện cho một trong những nỗ lực đầu tiên để khám phá mức độ trợ giúp bằng trí tuệ nhân tạo trong việc hoàn thiện các hành vi lừa đảo. Đây là một thử nghiệm với khoảng 1.600 nhân viên từ một công ty chăm sóc sức khỏe toàn cầu không được tiết lộ tên.
Trong thử nghiệm này, một nửa số nhân viên nhận được email lừa đảo được viết hoàn toàn bởi đội X-Force của IBM, trong khi nửa còn lại nhận được email được tạo bởi ChatGPT.
Kết quả, 14% nhân viên nhận được email lừa đảo do con người viết đã mắc lừa và nhấp vào các liên kết độc hại. Trong khi đó, email do ChatGPT tạo ra khá gần thực tế, với 11% mục tiêu tương tác với nội dung mà nó đã tạo ra.
Stephanie "Snow" Carruthers, người dẫn đầu đội hacker của IBM, đã giám sát thử nghiệm và yêu cầu ChatGPT gửi một email mà đội của cô ấy đã sử dụng. Điều đáng chú ý là ChatGPT chỉ cần năm phút để thực hiện công việc này, trong khi đội của Carruthers thường cần khoảng 16 giờ để tạo ra một email lừa đảo đáng tin cậy, bởi họ đã nghiên cứu cơ thể cụ thể mà họ nhắm tới và quan tâm của nhân viên.
Carruthers lo ngại: "Điều này khiến tôi lo sợ cho tương lai. Nếu đây là tình hình hiện tại thì sau này sẽ như thế nào, tôi định nói là 5 năm, nhưng thực lòng mà nói là 6 tháng?"
Các nhà phát triển của OpenAI đã thực hiện các biện pháp bảo vệ để ngăn chặn chatbot AI từ việc trả lời trực tiếp các email lừa đảo, phần mềm độc hại hoặc các công cụ mạng độc hại khác. Tuy nhiên, các kỹ sư xã hội như Carruthers đã tìm cách lách những biện pháp bảo vệ này và tạo ra các email độc hại.
Trong trường hợp này, Carruthers và nhóm của cô bắt đầu bằng việc yêu cầu ChatGPT liệt kê các lĩnh vực mà nhân viên trong ngành chăm sóc sức khỏe quan tâm. Sau đó, nhóm đã yêu cầu ChatGPT liệt kê các kỹ thuật tiếp thị hàng đầu và kỹ thuật xã hội mà một email nên sử dụng để thu hút sự tương tác, cũng như email nên xuất phát từ ai. Cuối cùng, IBM yêu cầu ChatGPT tạo ra một email dựa trên thông tin đã được cung cấp.
Ban đầu, ba khách hàng của IBM đã đăng ký tham gia vào nghiên cứu. Nhưng khi họ thấy được loại email mà ChatGPT có thể tạo ra, hai công ty đã rút lui vì họ lo ngại rằng quá nhiều nhân viên của họ có thể mắc phải các email này.
Hầu hết các cuộc tấn công mạng bắt đầu từ các email lừa đảo thông thường, gửi phần mềm độc hại hoặc đưa người dùng đến các trang web độc hại. Theo báo cáo về Tình Hình Lừa Đảo của Proofpoint, vào năm 2022, 84% số người tham gia cuộc khảo sát cho biết tổ chức của họ đã phải đối mặt với ít nhất một cuộc tấn công lừa đảo thành công.
Email lừa đảo điển hình thường không do các nhà nghiên cứu của IBM viết, mà thường là do người nói tiếng Anh không phải là ngôn ngữ chính viết nên có khả năng thành công thấp hơn.
Carruthers lưu ý rằng các email do ChatGPT viết thiếu yếu tố trí tuệ cảm xúc cần thiết để lừa nhiều nhân viên hơn. Cô nói: "Yếu tố con người rất quan trọng đối với kỹ thuật xã hội. Đối với tôi, AI vẫn còn lạnh lùng và giống robot".
Hiện Tại, ChatGPT có thể sẽ chỉ đẩy nhanh công việc của các tin tặc có kinh nghiệm thay vì trang bị kỹ năng mới cho các tin tặc thiếu kinh nghiệm, vì người dùng vẫn cần một số kiến thức cơ bản để tạo ra các trò lừa đảo khả thi.
Theo báo cáo, X-Force của IBM vẫn chưa thấy sự sử dụng rộng rãi của trí tuệ tổng hợp trong các chiến dịch hiện tại. Tuy nhiên, các tin tặc đã phát triển và bán các công cụ trí tuệ nhân tạo trên các diễn đàn tội phạm mạng ngầm có thể giúp đẩy nhanh các cuộc tấn công trong tương lai gần.
Các quan chức an ninh mạng và các nhà lãnh đạo ngành công nghiệp đã lâu đã cảnh báo rằng tin tặc có thể sử dụng ChatGPT và các công cụ trí tuệ nhân tạo tương tự để nhanh chóng viết các email lừa đảo có vẻ thật cho người dùng thông thường.
Trong thử nghiệm này, một nửa số nhân viên nhận được email lừa đảo được viết hoàn toàn bởi đội X-Force của IBM, trong khi nửa còn lại nhận được email được tạo bởi ChatGPT.
Kết quả, 14% nhân viên nhận được email lừa đảo do con người viết đã mắc lừa và nhấp vào các liên kết độc hại. Trong khi đó, email do ChatGPT tạo ra khá gần thực tế, với 11% mục tiêu tương tác với nội dung mà nó đã tạo ra.
Stephanie "Snow" Carruthers, người dẫn đầu đội hacker của IBM, đã giám sát thử nghiệm và yêu cầu ChatGPT gửi một email mà đội của cô ấy đã sử dụng. Điều đáng chú ý là ChatGPT chỉ cần năm phút để thực hiện công việc này, trong khi đội của Carruthers thường cần khoảng 16 giờ để tạo ra một email lừa đảo đáng tin cậy, bởi họ đã nghiên cứu cơ thể cụ thể mà họ nhắm tới và quan tâm của nhân viên.
Carruthers lo ngại: "Điều này khiến tôi lo sợ cho tương lai. Nếu đây là tình hình hiện tại thì sau này sẽ như thế nào, tôi định nói là 5 năm, nhưng thực lòng mà nói là 6 tháng?"
Các nhà phát triển của OpenAI đã thực hiện các biện pháp bảo vệ để ngăn chặn chatbot AI từ việc trả lời trực tiếp các email lừa đảo, phần mềm độc hại hoặc các công cụ mạng độc hại khác. Tuy nhiên, các kỹ sư xã hội như Carruthers đã tìm cách lách những biện pháp bảo vệ này và tạo ra các email độc hại.
Trong trường hợp này, Carruthers và nhóm của cô bắt đầu bằng việc yêu cầu ChatGPT liệt kê các lĩnh vực mà nhân viên trong ngành chăm sóc sức khỏe quan tâm. Sau đó, nhóm đã yêu cầu ChatGPT liệt kê các kỹ thuật tiếp thị hàng đầu và kỹ thuật xã hội mà một email nên sử dụng để thu hút sự tương tác, cũng như email nên xuất phát từ ai. Cuối cùng, IBM yêu cầu ChatGPT tạo ra một email dựa trên thông tin đã được cung cấp.
Ban đầu, ba khách hàng của IBM đã đăng ký tham gia vào nghiên cứu. Nhưng khi họ thấy được loại email mà ChatGPT có thể tạo ra, hai công ty đã rút lui vì họ lo ngại rằng quá nhiều nhân viên của họ có thể mắc phải các email này.
Hầu hết các cuộc tấn công mạng bắt đầu từ các email lừa đảo thông thường, gửi phần mềm độc hại hoặc đưa người dùng đến các trang web độc hại. Theo báo cáo về Tình Hình Lừa Đảo của Proofpoint, vào năm 2022, 84% số người tham gia cuộc khảo sát cho biết tổ chức của họ đã phải đối mặt với ít nhất một cuộc tấn công lừa đảo thành công.
Email lừa đảo điển hình thường không do các nhà nghiên cứu của IBM viết, mà thường là do người nói tiếng Anh không phải là ngôn ngữ chính viết nên có khả năng thành công thấp hơn.
Carruthers lưu ý rằng các email do ChatGPT viết thiếu yếu tố trí tuệ cảm xúc cần thiết để lừa nhiều nhân viên hơn. Cô nói: "Yếu tố con người rất quan trọng đối với kỹ thuật xã hội. Đối với tôi, AI vẫn còn lạnh lùng và giống robot".
Hiện Tại, ChatGPT có thể sẽ chỉ đẩy nhanh công việc của các tin tặc có kinh nghiệm thay vì trang bị kỹ năng mới cho các tin tặc thiếu kinh nghiệm, vì người dùng vẫn cần một số kiến thức cơ bản để tạo ra các trò lừa đảo khả thi.
Theo báo cáo, X-Force của IBM vẫn chưa thấy sự sử dụng rộng rãi của trí tuệ tổng hợp trong các chiến dịch hiện tại. Tuy nhiên, các tin tặc đã phát triển và bán các công cụ trí tuệ nhân tạo trên các diễn đàn tội phạm mạng ngầm có thể giúp đẩy nhanh các cuộc tấn công trong tương lai gần.
