La creatividad humana supera al AI generativo en la redacción de correos de phishing
Un proyecto de investigación de IBM X-Force liderado por la Chief People Hacker Stephanie “Snow” Carruthers demostró que los correos electrónicos de phishing escritos por humanos tienen una tasa de clics un 3% mejor que aquellos escritos por ChatGPT.
El proyecto de investigación se llevó a cabo en una compañía global de atención médica con sede en Canadá. Otras dos organizaciones iban a participar, pero se echaron atrás cuando sus CISOs sintieron que los correos electrónicos de phishing enviados como parte del estudio podrían engañar a sus miembros del equipo de manera demasiado exitosa.
Técnicas de ingeniería social adaptadas a cada negocio
Según descubrió Carruthers, resulta mucho más rápido pedirle a un modelo de lenguaje grande que escriba un correo electrónico de phishing que investigar y componer uno personalmente. Esa investigación, que implica aprender las necesidades más urgentes de las compañías, los nombres específicos asociados con los departamentos y otra información utilizada para personalizar los correos electrónicos, lleva a su equipo de investigadores de seguridad de X-Force Red unas 16 horas. Con un modelo de lenguaje grande, solo les llevó unos cinco minutos engañar al chatbot generativo de IA para crear un contenido convincente y malicioso.
Para lograr que ChatGPT escribiera un correo electrónico que atrajera a alguien a hacer clic en un enlace malicioso, los investigadores de IBM le dieron instrucciones al modelo de lenguaje grande. Le pidieron a ChatGPT que redactara un correo electrónico persuasivo (Figura A), teniendo en cuenta las principales áreas de preocupación de los empleados en su sector, que en este caso era la atención médica. Le indicaron a ChatGPT que utilizara técnicas de ingeniería social (confianza, autoridad y prueba) y técnicas de marketing (personalización, optimización móvil y llamado a la acción) para generar un correo electrónico que se hiciera pasar por un gerente de recursos humanos interno.
Figura A
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelA continuación, los investigadores de seguridad de IBM X-Force Red redactaron su propio correo electrónico de phishing basado en su experiencia e investigación sobre la compañía objetivo (Figura B). Hicieron hincapié en la urgencia e invitaron a los empleados a completar una encuesta.
Figura B
El correo electrónico de phishing generado por IA tuvo una tasa de clics del 11%, mientras que el correo electrónico de phishing escrito por humanos tuvo una tasa de clics del 14%. La tasa de clics promedio de correos electrónicos de phishing en la compañía objetivo era del 8%; la tasa de clics promedio de correos electrónicos de phishing observada por X-Force Red es del 18%. El correo electrónico de phishing generado por IA fue reportado como sospechoso con mayor frecuencia que el correo electrónico de phishing escrito por personas. La baja tasa de clics de la compañía objetivo probablemente se deba a que dicha compañía utiliza una plataforma de phishing mensual que envía correos electrónicos prediseñados y no personalizados.
Los investigadores atribuyen el éxito de sus correos electrónicos en comparación con los generados por IA a su capacidad para apelar a la inteligencia emocional humana, así como a su selección de un programa real dentro de la organización en lugar de un tema amplio.
Cómo los actores de amenazas utilizan la IA generativa para ataques de phishing
Los actores de amenazas promocionan herramientas como WormGPT, una variante de ChatGPT que puede responder a indicaciones que de otro modo serían bloqueadas por las barreras éticas de ChatGPT. IBM X-Force señaló que “X-Force no ha presenciado el uso a gran escala de la IA generativa en campañas actuales”, a pesar de que herramientas como WormGPT están presentes en el mercado negro.
Cómo proteger tu computadora de los virus: métodos y consejos“Si bien incluso las versiones restringidas de los modelos de IA generativa pueden ser engañadas para realizar phishing a través de indicaciones simples, estas versiones no restringidas pueden ofrecer formas más eficientes para que los atacantes escalen correos electrónicos de phishing sofisticados en el futuro”, escribió Carruthers en su informe sobre el proyecto de investigación.
Por otro lado, existen formas más fáciles de realizar phishing y los atacantes no utilizan la IA generativa con mucha frecuencia.
“Los atacantes son muy efectivos para realizar phishing incluso sin IA generativa… ¿Por qué invertir más tiempo y dinero en un área que ya tiene un ROI sólido?”, escribió Carruthers a TechRepublic.
IBM encontró que el phishing es el vector de infección más común en los incidentes de ciberseguridad en su Índice de Inteligencia de Amenazas 2023.
“No lo probamos en este proyecto, pero a medida que la IA generativa se vuelva más sofisticada, también podría ayudar a mejorar el análisis de inteligencia de código abierto para atacantes. El desafío aquí es asegurarse de que los datos sean fácticos y oportunos”, escribió Carruthers en un correo electrónico a TechRepublic. “Existen beneficios similares en el lado del defensor. La IA puede ayudar a mejorar el trabajo de los ingenieros sociales que realizan simulaciones de phishing en grandes organizaciones, acelerando tanto la redacción de un correo electrónico como la recopilación de inteligencia de código abierto”.
Cómo proteger a los empleados de intentos de phishing en el trabajo
X-Force recomienda tomar las siguientes medidas para evitar que los empleados hagan clic en correos electrónicos de phishing.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas- Si un correo electrónico parece sospechoso, llame al remitente y asegúrese de que el correo electrónico sea realmente de él.
- No asuma que todos los correos electrónicos de spam tendrán gramática o ortografía incorrecta; en su lugar, busque correos electrónicos más largos de lo habitual, lo que podría ser una señal de que la IA los ha escrito.
- Capacite a los empleados sobre cómo evitar el phishing por correo electrónico o teléfono.
- Utilice controles avanzados de identidad y acceso, como la autenticación multifactor.
- Actualice regularmente las tácticas internas, los sistemas de detección de amenazas y los materiales de capacitación de los empleados para mantenerse al día con los avances en la IA generativa y otras tecnologías que los actores maliciosos puedan utilizar.
El 18 de octubre, la Agencia de Seguridad Cibernética e Infraestructura, la NSA, el FBI y el Centro de Compartición de Información y Análisis Multiestatal publicaron orientaciones para detener los ataques de phishing.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La creatividad humana supera al AI generativo en la redacción de correos de phishing , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados