Изкуственият интелект и чатботовете представляват сериозен риск за киберсигурността, а според някои тяхното масово навлизане революционизира кибератаките и начина, по който те се извършват. Подобни инструменти значително улесняват злонамерените актьори и тяхната незаконна дейност, като например могат да се използват за създаване на сложни фишинг кампании от хора без сериозни умения в програмирането. "Без съмнение чатботовете или големите езикови модели (LLM) понижават бариерата за навлизане в киберпрестъпленията, като правят възможно създаването на добре написани фишинг кампании и генерирането на зловреден софтуер, който по-малко способни програмисти не биха могли да създадат сами".

Едно от най-тревожните, но най-малко обсъждани приложения на големите езикови модели е разузнаването с цел провеждане на добре таргетирани атаки. "В рамките на няколко секунди чатботът може за избрана цел да издири в интернет информация със свободен достъп, която може да бъде използвана в кампании за социално инженерство, които стават все по-чести". Това прави традиционните методи за следене на периметъра, които разчитат на откриване на заплахи на база на сигнатури и репутация, в недостатъчно ефективни вече.

Повече фишинг имейли преминават през защитите

Въпреки че общият обем не се е увеличил, данните показват, че атаките стават все по-сложни и киберпрестъпниците използват множество тактики, за да преминат успешно през периметъра на защита на електронната поща. Процентът на имейлите, които са преодолели защитите на Microsoft, се е увеличил с 25% от 2022 г. до 2023 г. По същия начин процентът на имейлите, които са преминали през системите за защита на имейл сървъри (SEG), се е повишил с 29% от 2022 г. до 2023 г.

Освен това през 2023 г. се наблюдава 11% ръст на фишинг атаките, изпратени от компрометирани акаунти. Компрометираните акаунти са доверени домейни, така че тези атаки обикновено преминават през традиционното откриване на заплахи в периметъра. Почти половината (47.7%) от фишинг атаките, които системите на Microsofts за откриване на заплахи са пропуснали, са били изпратени от компрометирани акаунти. Най-често срещаният тип пък са фишинг връзки към уебсайтове (45%), които бележат ръст в сравнение с 35% през 2022 г.

"Старите подходи към сигурността на електронната поща разчитат в голяма степен на карантина, която не позволява на крайните потребители да виждат фишинг имейли, но както се подчертава в нашия доклад, фишинг имейлите неизбежно ще преминат". В крайна сметка е по-добре служителите да бъдат научени как да разпознават подвеждащите съобщения, тъй като това ще се окаже по-устойчив подход в дългосрочен план.

Чатбот ли пише фишинг имейлите

Потенциалът на киберпрестъпниците да използват чатботове за създаване на фишинг кампании и зловреден софтуер е повод за безпокойство, но възможно ли е да се разбере дали даден фишинг имейл е написан от чатбот? Нито едно лице или инструмент не може да каже категорично дали дадена атака е написана от чатбот. Тъй като използват големи езикови модели (LLM), точността на повечето инструменти за откриване се увеличава при по-големи извадки, като често се изискват минимум 250 символа, за да работят. Тъй като 44.9% от фишинг имейлите не отговарят на ограничението от 250 символа, а други 26.5% са под 500, към момента детекторите с изкуствен интелект или не работят надеждно, или изобщо не работят при 71.4% от атаките.

Нови техники

Хвърля се светлина и за новите техники за маскиране на зловредните имейли, като делът на фишинг писмата, в които се използват техники за обфускация е нараснал с 24.4% през 2023 г., достигайки 55.2%. Обфускацията позволява на киберпрестъпниците да скрият атаките си от определени механизми за откриване на заплахи. Почти половината (47%) от фишинг имейлите, които прилагат техниката, съдържат два слоя, за да увеличат шансовете си за заобикаляне на защитите на електронната поща.

Друга тенденция, която се наблюдава сред киберпрестъпниците, е възползването от т.нар. сива поща. След анализ на 63.8 милиона имейла, които организациите са получили в продължение на четири седмици, от Egress установяват, че средно една трета (34%) от имейл потока може да бъде категоризиран като сив (масови, но поискани имейли, като известия, актуализации и рекламни съобщения). Освен това сряда и петък са най-популярните дни от седмицата за изпращане или получаване на сива поща. Изследването установява пряка връзка между обема на сивата поща и обема на получените фишинг имейли - с други думи, хората с по-натоварени пощенски кутии е по-вероятно да бъдат обект на фишинг кампании.