Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ολοένα και περισσότερο Μεγάλα Γλωσσικά Μοντέλα (LLMs) ώστε να δημιουργήσουν υλικό για επιθέσεις phishing και απάτες μεγάλης κλίμακας, όπως ανακάλυψαν οι ειδικοί του Κέντρου Έρευνας AI της Kaspersky. Προσπαθώντας να παράξουν μεγάλους όγκους ψεύτικων ιστότοπων, οι επιτήδειοι συχνά αφήνουν πίσω τους διακριτά ίχνη – όπως συγκεκριμένες εκφράσεις AI – που διαφοροποιούν αυτά τα sites από όσα δημιουργούνται χειροκίνητα. Μέχρι στιγμής, τα περισσότερα παραδείγματα phishing που έχει παρατηρήσει η Kaspersky στοχοποιούν χρήστες ανταλλακτηρίων και πορτοφολιών για κρυπτονομίσματα.
Οι ειδικοί της Kaspersky ανέλυσαν ένα δείγμα δεδομένων για να εντοπίσουν τα βασικά χαρακτηριστικά που βοηθούν στη διάκριση και τον εντοπισμό χρήσης AI στη δημιουργία περιεχομένου ή ακόμα και ολόκληρων ιστοσελίδων απάτης και phishing.
Ένα από τα κύρια σημάδια ότι ένα κείμενο δημιουργήθηκε από Μεγάλα Γλωσσικά Μοντέλα (LLM) είναι η παρουσία αποποιήσεων ευθύνης και η άρνηση εκτέλεσης εντολών, με φράσεις όπως «Ως γλωσσικό μοντέλο AI…». Τέτοιου είδους διατυπώσεις βρέθηκαν, για παράδειγμα, σε δύο ιστοσελίδες phishing που στοχοποιούν χρήστες του KuCoin.
Στη μία περίπτωση, το μοντέλο αρνείται να λειτουργήσει ως μηχανή αναζήτησης. | Σε άλλη περίπτωση, το μοντέλο δηλώνει ότι δεν μπορεί να πραγματοποιήσει συνδέσεις σε εξωτερικούς ιστότοπους. |
Μία ακόμα ένδειξη χρήσης γλωσσικού μοντέλου είναι οι φράσεις που δηλώνουν επιφύλαξη, όπως: «Δεν μπορώ να κάνω ακριβώς αυτό που ζητάτε, μπορώ να προσπαθήσω κάτι παρόμοιο». Σε περιπτώσεις στοχοποίησης χρηστών των Gemini και Exodus, το γλωσσικό μοντέλο αρνείται να παράσχει λεπτομερείς οδηγίες σύνδεσης.
Παραδείγματα σελίδων phishing, κατασκευασμένων με LLM’s, που στοχοποιούν χρήστες των Gemini και Exodus
«Με τη χρήση των LLMs, οι επιτιθέμενοι μπορούν να αυτοματοποιήσουν τη δημιουργία δεκάδων ή ακόμα και εκατοντάδων phishing και scam ιστοσελίδων με μοναδικό, υψηλής ποιότητας περιεχόμενο», εξηγεί ο Vladislav Tushkanov, Research Development Group Manager στην Kaspersky. «Στο παρελθόν, αυτό απαιτούσε χειροκίνητη προσπάθεια, αλλά η Τεχνητή Νοημοσύνη πλέον βοηθά τους επιτήδειους στην αυτόματη δημιουργία τέτοιου περιεχομένου».
Τα LLMs μπορούν να χρησιμοποιηθούν για τη δημιουργία όχι μόνο κειμένων, αλλά και ολόκληρων ιστοσελίδων, με τα ίχνη της χρήσης τους να εμφανίζονται τόσο στο ίδιο το κείμενο όσο και στα meta tags: Πρόκειται για αποσπάσματα κειμένου τα οποία περιγράφουν το περιεχόμενο μιας ιστοσελίδας και εμφανίζονται στον κώδικα HTML.
Meta tags αυτής της σελίδας phishing, που εμφανίζουν μήνυμα από ένα μοντέλο AI ότι το μήκος του κειμένου υπερέβη το όριο του μοντέλου
Υπάρχουν και άλλες ενδείξεις χρήσης AI στη δημιουργία κακόβουλων ιστοσελίδων. Ορισμένα μοντέλα, για παράδειγμα, τείνουν να χρησιμοποιούν συγκεκριμένες φράσεις όπως “εξερευνήστε”, “στη συνεχώς εξελισσόμενη πραγματικότητα” και “στον διαρκώς μεταβαλλόμενο κόσμο”. Αυτές οι εκφράσεις δεν θεωρούνται ισχυροί δείκτες χρήσης AI, μπορoύν ωστόσο να θεωρηθούν ως σημάδια.
Φράσεις όπως “Στον δυναμικό τομέα των κρυπτονομισμάτων” και “ας εμβαθύνουμε” σε μια σελίδα phishing που στοχεύει χρήστες της Ledger. | Phishing που στοχοποιεί χρήστες του Bitbuy, με φράσεις όπως “ο συνεχώς εξελισσόμενος κόσμος των κρυπτονομισμάτων” και ένα δοκίμιο σχετικά με “την πλοήγηση στον ωκεανό των κρυπτονομισμάτων”. |
Ένα ακόμη χαρακτηριστικό κειμένου που έχει παραχθεί από γλωσσικό μοντέλο είναι η δήλωση για το μέχρι πιο σημείο εκτείνεται η γνώση του μοντέλου για τον κόσμο. Αυτό συνήθως εκφράζεται με τη χρήση φράσεων όπως “σύμφωνα με την τελευταία μου ενημέρωση τον Ιανουάριο του 2023”.
Η παραγωγή κειμένων από LLM συχνά συνδυάζεται με τακτικές που καθιστούν την ανίχνευση σελίδων phishing πιο περίπλοκη για τα εργαλεία κυβερνοασφάλειας. Για παράδειγμα, οι επιτιθέμενοι μπορεί να χρησιμοποιούν μη τυπικούς χαρακτήρες Unicode, όπως αυτοί με διακριτικά ή μαθηματικά σύμβολα, για να κάνουν το κείμενο πιο περίπλοκο και να αποτρέψουν την αντιστοίχιση από συστήματα ανίχνευσης που βασίζονται σε κανόνες.
«Τα μεγάλα γλωσσικά μοντέλα βελτιώνονται, και οι κυβερνοεγκληματίες εξερευνούν τρόπους εφαρμογής αυτής της τεχνολογίας για κακούς σκοπούς. Ωστόσο, τα λάθη που προκύπτουν παρέχουν πληροφορίες σχετικά με τη χρήση τέτοιων εργαλείων, ιδίως για την αύξηση της αυτοματοποίησης. Όσο η τεχνολογία εξελίσσεται θα είναι πιο δύσκολο να διακρίνει κανείς το περιεχόμενο που έχει παραχθεί από AI από το κείμενο που έχει γραφεί από ανθρώπους, καθιστώντας κρίσιμης σημασίας τη χρήση προηγμένων μεθόδων ασφαλείας, οι οποίες αναλύουν τις πληροφορίες του κειμένου, τα μεταδεδομένα και άλλες ενδείξεις απάτης», δήλωσε ο Vladislav Tushkanov.
Η πλήρης έκθεση με επιπλέον παραδείγματα και ανάλυση είναι διαθέσιμη στο Securelist. Για προστασία από το phishing, η Kaspersky συστήνει:
• Ελέγξτε την ορθογραφία των υπερσυνδέσμων. Ορισμένες φορές, τα emails και οι ιστοσελίδες φαίνονται ακριβώς όπως οι πραγματικές. Αυτό εξαρτάται από το πόσο καλά προετοιμασμένοι είναι οι εγκληματίες. Αλλά οι υπερσύνδεσμοι, τις περισσότερες φορές, θα είναι λανθασμένοι — με ορθογραφικά λάθη ή μπορεί να σας ανακατευθύνουν σε διαφορετικό μέρος.
• Πληκτρολογήστε τη διεύθυνση της ιστοσελίδας απευθείας στον περιηγητή σας. Εάν ένα email περιέχει έναν σύνδεσμο, αντί να κάνετε κλικ σε αυτόν, είναι ασφαλέστερο να τον «περάσετε» με το ποντίκι για να δείτε αν φαίνεται σωστός. Εάν φαίνεται εντάξει, αναζητήστε τον σύνδεσμο μόνοι σας αντί να κάνετε κλικ για να μεταβείτε σε μια ιστοσελίδα. Επικίνδυνες ιστοσελίδες μπορεί να φαίνονται πανομοιότυπες με αυθεντικές.
• Αποκτήστε μια σύγχρονη λύση ασφαλείας, η οποία παρέχει στους χρήστες δυνατότητες ασφαλούς περιήγησης, προστατεύοντας από επικίνδυνες ιστοσελίδες, λήψεις και επεκτάσεις.
