استفاده از هوش مصنوعی زبان طبیعی برای حملات فیشینگ
توانایی درک و تولید زبان انسان یکی از اهداف اصلی تحقیقات هوش مصنوعی از همان روزهای اولیه بوده است. این تکنولوژی توانایی درک، تولید کلمات و متن را به همان روشی که در انسان وجود دارد، به ماشینها یاد میدهد. در دنیای امروز ما ابزارهای مختلفی از این فناوری را در دسترس داریم که از جملهی آنها میتوان به ابزارهای تولید صدای مصنوعی، رباتهای توانا در گفتوگو، تولیدکنندههای متن به زبانهای مختلف و بسیاری از فناوریهای مرتبط با هوش مصنوعی اشاره کرد. این ابزارهای هوش مصنوعی این توانایی را دارند تا زبان انسان را به صورت متن یا دادههای صوتی مورد پردازش قرار دهند و مفهوم صحیح آن را با هدف و احساسات گوینده یا نویسنده به طور کامل درک کنند.
این ابرازها برای حملات فیشینگ گزینهی بسیار عالی به شمار میروند. اگر اطلاعی در مورد حملات فیشینگ ندارید، باید اشاره کنیم که این نوع از حملات مبتنی بر مهندسی اجتماعی بودهاند که در آن افراد سودجو یا هکرها با فریب دادن کاربران اطلاعات حساس و مهمی مانند رمزهای عبور، اطلاعات کارتهای بانکی، اطلاعات شخصی حساس و موارد دیگر را بهدست میآورند. با استفاده از این فناوریهای جدید، هکرها میتوانند به صورت انبوه از طریق ایمیل، تماسهای تلفنی، اپلیکیشنهای پیامرسان یا هر جا که انسانها از طریق یک سیستم با یکدیگر در ارتباط هستند، دست به کلاهبرداری بزنند.
روشهای زیادی برای انجام حملات فیشینگ در اختیار افراد سودجو قرار دارد که از جملهی آنها میتوان به وبسایتهای جعلی، فیشینگ از طریق تغییر لینک، تماسهای تلفنی ساختگی، بد افزارهای فیشینگ، ارسال پیامهای جعلی و دیگر موارد اشاره کرد. در برخی مواقع هکرها با تغییر آدرس در نوار آدرس مرورگر تلاش میکنند تا کاربر را به یک وبسایت جعلی که بسیار شبیه سایت اصلی است ببرد و با وارد کردن اطلاعات مهمی چون نام کاربری و رمز عبور توسط خود کاربر، به راحتی تمام اطلاعات وی در اختیار هکرها قرار میگیرد.
برخلاف فیشینگهای معمولی که ما میشناسیم، نوعی دیگری از فیشینگ وجود دارد که در آن تلاشها علیه افراد خاصی با اطلاعات مربوط به آنها بهویژه برای عادیسازی کردن کلاهبرداری انجام میشود. برای مثال، ابزارهای تکنولوژی هوش مصنوعی میتوانند به عنوان رئیس شخصی ظاهر شوند و از کارمند خود درخواست کنند تا مبلغی پول به یک حساب بانکی خاص واریز کند. این ابزارها با تقلید صدای رئیس یک شرکت به راحتی راه را برای سوءاستفادههای خطرناکتر هموار خواهند کرد، بدون اینکه کارمند لحظهای به کلاهبرداری بودن این قضیه شک کند.
مهندسی اجتماعی دیپفیک
مهندسی اجتماعی یک نوع هک کردن به شمار میرود که نقاط ضعف در روانشناسی رفتار انسان را مورد هدف قرار داده تا اقدامات فنی امنیتی را دور بزند. به بیانی دیگر، مهندسی اجتماعی در حقیقت انجام دادن یک سری اقدامات روی شخص یا گروهی از اشخاص، با هدف ترغیب آنها به انجام کارهایی به جهت رساندن فرد مهاجم به اهدافی نظیر دستیابی به یک سری اطلاعات خاص، اطلاعات دسترسی، دستکاری سیستم یا شبکه هدف برای انجام یک کار از پیش تعیینشده است. به عنوان مثال، یک هکر ممکن است با منشی شرکت مهمی تماس بگیرد و ضمن معرفی خود به عنوان یک کارگر نظافتچی، از او بپرسد که زبالههای کاغذی شرکت را در کجا میریزند. سپس این فرد مهاجم به آن مکان میرود تا به دنبال اسناد دور ریخته شده یا سایر سرنخهایی باشد که میتوانند برای ایجاد سوءاستفاده از آنها بهره ببرد.
سیستمهای یادگیری عمیق که میتوانند چهرهها و صداهای کاربران با بیشترین شباهت ممکن شبیهسازی کنند (معروف به دیپفیک) تا حدی پیشرفت کردهاند که میتوان از آنها در هر زمان و مکان استفاده کرد. هکرها برای ساخت دیپفیک از فناوریهای یادگیری عمیق، یادگیری ماشین و تکنولوژی هوش مصنوعی بهره میبرند تا تصاویر، ویدیوها و صداهایی تولید کنند که بهطور قانعکنندهای واقعی هستند. با گذر زمان و پیشرفت فناوری، امکان تشخیص محتوای فیک از محتوای واقعی بسیار سختتر خواهد شد و به همین دلیل نیز بسیاری از کاربران قربانی حملات سایبری میشوند.
بد نیست اشاره کنیم که سرویسهایی وجود دارند که در آنها میتوانید نمونههایی از صدای خود را ارسال کنید و سپس متنی را برای آن سرویس بخوانید تا دقیقترین شبیهسازی از صدای شما صورت بگیرد. در اصل، چنین فناوری میتواند برای شبیهسازی صدای هر کسی استفاده شود. سپس تنها کاری که باید انجام دهید این است که از طریق تماس تلفنی یا تماس تصویری با افراد مد نظر خود ارتباط برقرار کنید و از طرف فردی که هویت او را جعل کردهاید، درخواستهای مختلفی داشته باشید. متاسفانه، کاربران عمومی از این طریق بهراحتی فریب میخورند. در این میان سرویسهای وجود دارند که به این راحتی اجازه سوءاستفاده از صدایهای کاربران را به هکرها نمیدهند.
به عنوان مثال، سرویس «Podcastle Revoice» یکی از این سرویسها است که ادعا میکند بر اساس نمونههای صوتی که ارسال میکنید، یک کپی دیجیتالی از صدای شما ایجاد کند. این سرویس در مورد نگرانی بسیار از کاربران برای سوءاستفاده از صداهای تولیدی بیانیهای صادر کرده و گفته که دستورالعملهای واضحی را در مورد نحوه ایجاد صداها و همچنین بررسیهایی برای جلوگیری از سوءاستفادههای احتمالی توسط تیمش انجام میدهد. در همین راستا، کاربر باید به صورت زنده ۷۰ جمله جداگانه را که به صورت اختصاصی توسط مهندسان این تیم تعیین میشود را بخواند و ضبط کند. این موضوع به این معنی است که کاربر نمیتواند به سادگی از صدای ضبطشدهی شخص دیگری در این زمینه استفاده کند. سپس این ۷۰ جمله ضبطشده به صورت دستی توسط تیم این سرویس بررسی میشوند تا از صحت صدای شخص اطمینان حاصل شود و سپس صوتها از طریق ابزارهای تکنولوژی هوش مصنوعی آنها پردازش خواهند شد.
یافتن حفرههای امنیتی به صورت خودکار توسط هوش مصنوعی
به طور معمول ساعتها طول میکشد تا کاربران کدنویسیهای انجام شده را برای پیدا کردن حفرههای امنیتی بگردند، آنها را برطرف یا از آنها سوءاستفاده کنند. اما ابزارهای هوش مصنوعی انجام این دسته از کارها را ساده کردهاند. به عنوان مثال برخی از مدلهای یادگیری ماشینی مانند ChatGPT میتوانند هم کد بنویسند و هم حفرههای امنیتی موجود در کدهای ارسال شده را تشخیص دهند. همچنین برخی ابزارهای هوش مصنوعی با بررسی ساختار کد، قادرند پیشنهادات خوبی را ارائه دهند که نه تنها بهرهوری کلی را بهبود میبخشد، بلکه در زمان نیز صرفهجویی خواهد کرد. این موضوع علیرغم اینکه فوایدی دارد، این احتمال را نیز ایجاد میکند که هوش مصنوعی زودتر میتواند برای حفرههای امنیتیهای یافته شده بدافزار بنویسد و بدین ترتیب هکرها خیلی راحت میتوانند از آنها سوءاستفاده کنند.
بدافزارهایی که از طریق یادگیری ماشینی یاد میگیرند
نقطه قوت اصلی یادگیری ماشینی این است که چگونه میتواند حجم عظیمی از داده را بگیرد و قوانین و بینش مفیدی را از آن استخراج کند. منطقی است که انتظار داشته باشیم بدافزارهای آینده از این مفهوم کلی برای انطباق سریع با اقدامات متقابل استفاده کنند. این موضوع ممکن است وضعیتی را پدیدار سازد که در ان سیستمهای بدافزار و ضد بدافزار به طور مؤثر به سیستمهای یادگیری ماشینی تبدیل شوند که پیچیدگی بسیار بالایی دارند و کار کردن با آنها به این سادگیها نخواهد بود.
هوش مصنوعی مولد برای ایجاد دادههای جعلی
فناوریهای هوش مصنوعی اکنون میتوانند تصاویر، ویدیو، متن و صدای افراد مختلف را به سادگی و در کمترین زمان ممکن شبیهسازی کنند. این فناوریها به جایی رسیدهاند که کارشناسان هم به راحتی و حداقل در نگاه اول نمیتوانند جعلی بودن آنها را تشخیص دهند. بنابراین این موضوع به این معنی است که در آیندهی نزدیک باید منتظر سیل عظیمی از دادههای جعلی در اینترنت باشید. به عنوان مثال، پروفایلهای جعلی رسانههای اجتماعی در حال حاضر به راحتی قابل تشخیص هستند، بنابراین تشخیص کلاهبرداریهای گربهماهی یا دیگر کمپینها برای انتشار اطلاعات نادرست برای مخاطبان آگاه و مطلع چندان سخت نیست.
برای آن دسته از کاربرانی که نمیدانند باید بگوییم که کلاهبرداری گربهماهی، نوعی از کلاهبرداری است که در آن افراد هویت واقعی خود را پنهان میکنند و با ساختن یک شخصیت آنلاین جعلی، به دنبال رسیدن به اهداف شوم خود هستند. این دسته از افراد ممکن است مدت زمان بسیار طولانی را صرف ایجاد اعتماد برای کاربران کنند و حتی با آنها وارد رابطه عاطفی شوند. اما با این حال، ابزارهای جدید تکنولوژی هوش مصنوعی میتوانند پروفایلهای جعلی را برای افراد ایجاد کنند که از پروفایلهای واقعی آنها قابل تشخیص نیستند و این موضوعی است که باید بیشتر مورد توجه کاربران قرار بگیرد.
این گروه از هکرها، معمولاً خود را به عنوان افرادی با چهرهی زیبا، وضعیت مالی بسیار خوب و دیگر موارد به کاربران معرفی میکنند و مدتی با آنها در شبکههای اجتماعی در ارتباط هستند. این افراد برای اینکه کاربران به آنها شک نکنند، یک سری پروفایلهای جعلی دیگر تحت عنوان دوست یا اعضای خانوادهشان ایجاد میکنند تا همهی چیز بسیار عادی و واقعی به نظر برسد. سپس در زمان مناسب به بهانههای بسیار مختلف از آنها کلاهبرداری میکنند.
سخن پایانی
ابزارهای تکنولوژی هوش مصنوعی اگرچه نقش بسیار مهمی در زندگی انسانهای امروزه ایفا میکنند، اما همواره یک سری افراد سودجو هستند که قصد دارند از پیشرفت تکنولوژی برای رسیدن به خواستههای شوم خود بهره ببرند. آنچه این نسل جدید فناوری هوش مصنوعی را متفاوت میکند این است که چگونه به سرعت از تواناییهای انسان برای شناسایی آنها فراتر میرود. در این مقاله به معرفی ۵ ابزار تکنولوژی هوش مصنوعی که هکرها میتوانند از آن سوءاستفاده کنند، پرداختیم تا شما را در این زمینه کمی آگاه کنیم. امیدواریم از خواندن این مطلب لذت برده باشید.
