Cómo los piratas informáticos usan la inteligencia artificial para engañarte y hacer clic en enlaces incompletos

Es posible que los usuarios de Twitter deban tener más cuidado con los enlaces en los que hacen clic.

Philip Tully y John Seymour de ZeroFox revelaron en la convención de hackers Black Hat USA 2016 el 4 de agosto que pueden usar el aprendizaje automático (es decir, la inteligencia artificial) para que los usuarios de Twitter abran enlaces a sitios web maliciosos con una tasa de éxito de entre 30 y 66 por ciento.

El dúo creó SNAP_R, una "red neuronal recurrente que aprende a tuitear publicaciones de phishing dirigidas a usuarios específicos", para demostrar que la inteligencia artificial podría usarse para ayudar en los intentos de "phishing". Spear phishing es un intento directo de engañar al usuario para que haga clic en un enlace incorrecto, a diferencia del phishing normal, que ofrece una amplia red a muchos usuarios (como en correos electrónicos de cadena o de spam que solicitan información de inicio de sesión). SNAP_R esencialmente encuentra un objetivo, escribe un tweet que cree que les interesará, utiliza el acortador de URL de Google para ocultar un enlace malicioso y luego envía tweets a su objetivo con la esperanza de que hagan clic en el enlace.

"En las pruebas con 90 usuarios, encontramos que nuestro marco automatizado de phishing con spear tuvo una tasa de éxito de entre el 30% y el 66%". Tully y Seymour escriben en un documento sobre SNAP_R. "Esto es más exitoso que el 5-14% reportado anteriormente en campañas de phishing a gran escala, y comparable al 45% reportado para los esfuerzos de phishing manual de lanza a gran escala".

La inteligencia artificial se usa a menudo para ayudar a proteger los datos, no para comprometerlos. Seymour y Tully querían voltear eso para demostrar que, a pesar de que los hackers no le tienen miedo a A.I. Al hacer que las cosas sean ilegibles, el público en general debería preocuparse de que los hackers puedan usar herramientas similares en contra de sus objetivos.

OpenAI, un proyecto respaldado por Elon Musk que estudia la forma en que la inteligencia artificial nos afectará en el futuro, dijo en julio que la tecnología puede representar un riesgo. "" Un uso temprano de la IA será irrumpir en los sistemas informáticos ", escribió OpenAI. "Nos gustaría que las técnicas de inteligencia artificial se defendieran contra piratas informáticos sofisticados que hacen un uso intensivo de los métodos de inteligencia artificial".

Revelar cómo funciona SNAP_R se supone que “fomenta una mayor conciencia y comprensión de” los ataques de phishing con lanza. Discutir el funcionamiento interno de la herramienta podría ayudar a alguien a encontrar una manera de proteger a los usuarios de Twitter de amenazas similares, siempre que los usuarios de Twitter puedan frenar su curiosidad y ser más cuidadosos.

"Nuestro enfoque se basa en el hecho de que las redes sociales se están convirtiendo rápidamente en un blanco fácil para los ataques de phishing e ingeniería social", escriben Seymour y Tully. "Usamos Twitter como nuestra plataforma debido a su barra baja para publicaciones admisibles, la tolerancia de la comunidad a los servicios de conveniencia como enlaces reducidos, su API efectiva y su cultura generalizada de sobreexposición de información personal".

Esta presentación fue solo una de las muchas que se dieron en Black Hat USA 2016 para ayudar a las personas a comprender las amenazas de seguridad. Puede que no tenga tanto impacto como el nuevo programa de recompensas de errores de Apple, pero aún es bueno hacer un seguimiento de cómo están evolucionando las herramientas de piratería.

Puede leer el documento completo de Seymour y Tully en SPAN_R a continuación: