Las bases de los ataques de ingeniería social, manipulando a los humanos, podrían no haber cambiado mucho a lo largo de los años. Son los vectores, cómo se implementan estas técnicas, los que están evolucionando. Y como la mayoría de las industrias en estos días, la IA está acelerando su evolución.
Este artículo explora cómo estos cambios están afectando a los negocios y cómo pueden responder los líderes de ciberseguridad.
Ataques de suplantación: uso de una identidad confiable
Las formas tradicionales de defensa ya estaban luchando por resolver la ingeniería social, la «causa de la mayoría de las violaciones de datos» según Thomson Reuters. La próxima generación de ataques cibernéticos con IA y actores de amenaza ahora puede lanzar estos ataques con velocidad, escala y realismo sin precedentes.
La antigua forma: máscaras de silicona
Al hacerse pasar por un ministro del gobierno francés, dos estafadores pudieron extraer más de 55 millones de euros de múltiples víctimas. Durante las videollamadas, uno usaría una máscara de silicona de Jean-Yves Le Drian. Para agregar una capa de credibilidad, también se sentaron en una recreación de su oficina ministerial con fotos del entonces presidente François Hollande.
Según los informes, se contactaron más de 150 cifras prominentes y se les pidió dinero para pagos de rescate o operaciones antiterroristas. La mayor transferencia realizada fue de 47 millones de euros, cuando se instó al objetivo a actuar debido a dos periodistas celebrados en Siria.
The New Way: Video Deepfakes
Muchas de las solicitudes de dinero fallaron. Después de todo, las máscaras de silicio no pueden replicar completamente el aspecto y el movimiento de la piel en una persona. AI Video Technology ofrece una nueva forma de intensificar esta forma de ataque.
Vimos esto el año pasado en Hong Kong, donde los atacantes crearon un video profundo de un CFO para llevar a cabo una estafa de $ 25 millones. Luego invitaron a un colega a una llamada de videoconferencia. Ahí es donde el CFO Deepfake persuadió al empleado para que hiciera la transferencia multimillonaria a la cuenta de los estafadores.
Llamadas en vivo: phishing de voz
El phishing de voz, a menudo conocido como Vishing, utiliza audio en vivo para construir sobre el poder del phishing tradicional, donde las personas son persuadidas de dar información que compromete a su organización.
La antigua forma: llamadas telefónicas fraudulentas
El atacante puede hacerse pasar por alguien, tal vez una cifra autorizada o desde otro contexto confiable, y hacer una llamada telefónica a un objetivo.
Agregan una sensación de urgencia a la conversación, solicitando que se realice un pago de inmediato para evitar resultados negativos, como perder acceso a una cuenta o perder una fecha límite. Las víctimas perdieron $ 1,400 a esta forma de ataque en 2022.
La nueva forma: clonación de voz
Las recomendaciones tradicionales de defensa de Vishing incluyen pedirle a las personas que no hagan clic en los enlaces que vienen con solicitudes y devolverle a la persona a un número de teléfono oficial. Es similar al enfoque cero de confianza de Never Trust, siempre verifique. Por supuesto, cuando la voz proviene de alguien que la persona conoce, es natural que la confianza elude cualquier preocupación de verificación.
Ese es el gran desafío con la IA, con atacantes que ahora usan tecnología de clonación de voz, a menudo tomada de unos pocos segundos de un objetivo que habla. Una madre recibió una llamada de alguien que había clonado la voz de su hija, diciendo que sería secuestrada y que los atacantes querían una recompensa de $ 50,000.
Correo electrónico de phishing
La mayoría de las personas con una dirección de correo electrónico han sido un ganador de la lotería. Al menos, han recibido un correo electrónico diciéndoles que han ganado millones. Quizás con una referencia a un rey o príncipe que pueda necesitar ayuda para liberar los fondos, a cambio de una tarifa inicial.
La vieja manera: rociar y rezar
Con el tiempo, estos intentos de phishing se han vuelto mucho menos efectivos, por múltiples razones. Se envían a granel con poca personalización y muchos errores gramaticales, y las personas son más conscientes de ‘419 estafas’ con sus solicitudes de usar servicios específicos de transferencia de dinero. Otras versiones, como el uso de páginas de inicio de sesión falsas para los bancos, a menudo se pueden bloquear utilizando protección de navegación web y filtros de spam, junto con la educación de las personas para que revisen la URL de cerca.
Sin embargo, el phishing sigue siendo la mayor forma de delito cibernético. El informe del crimen en Internet del FBI 2023 encontró que el phishing/suplantación era la fuente de 298,878 quejas. Para darle algún contexto, el segundo más alto (violación de datos personales) registró 55,851 quejas.
La nueva forma: conversaciones realistas a escala
AI está permitiendo a los actores de amenaza acceder a herramientas perfectas de palabras al aprovechar los LLM, en lugar de confiar en las traducciones básicas. También pueden usar IA para lanzarlos a múltiples destinatarios a escala, con la personalización que permite la forma más específica de phishing de lanza.
Además, pueden usar estas herramientas en varios idiomas. Estos abren las puertas a un número más amplio de regiones, donde los objetivos pueden no ser tan conscientes de las técnicas de phishing tradicionales y qué verificar. La revisión de negocios de Harvard advierte que «todo el proceso de phishing se puede automatizar utilizando LLMS, lo que reduce los costos de los ataques de phishing en más del 95% al tiempo que logran tasas de éxito iguales o mayores».
Amenazas reinventadas significan reinventar las defensas
La ciberseguridad siempre ha estado en una carrera armamentista entre defensa y ataque. Pero la IA ha agregado una dimensión diferente. Ahora, los objetivos no tienen forma de saber qué es real y qué es falso cuando un atacante está tratando de manipular su:
- Confianzaal hacerse pasar por un colega y pedirle a un empleado que evite los protocolos de seguridad para obtener información confidencial
- Respeto por la autoridad fingiendo ser el CFO de un empleado y ordenarles que complete una transacción financiera urgente
- Miedo Al crear una sensación de urgencia y pánico significa que el empleado no piensa considerar si la persona con la que está hablando es genuino
Estas son partes esenciales de la naturaleza humana y el instinto que han evolucionado durante miles de años. Naturalmente, esto no es algo que pueda evolucionar a la misma velocidad que los métodos de actores maliciosos o el progreso de la IA. Las formas tradicionales de conciencia, con cursos y preguntas y respuestas en línea, no están construidas para esta realidad alimentada por IA.
Es por eso que parte de la respuesta, especialmente mientras las protecciones técnicas aún se están poniendo al día, es hacer que su experiencia laboral sea la experiencia simulada de ataques de ingeniería social.
Debido a que sus empleados no recuerdan lo que usted dice acerca de defenderse de un ataque cibernético cuando ocurra, pero recordarán cómo los hace sentir. Para que cuando ocurra un ataque real, sean conscientes de cómo responder.