Az adathalász támadások már nem a tömeges terjesztésen, hanem a gondosan előkészített megtévesztésen alapulnak. Mesterséges intelligencia segítségével a kiberbűnözők nyilvánosan elérhető információkat elemeznek, személyiségprofilokat hoznak létre, és megfelelő triggereket használnak. Ebben a cikkben Florian Kuckelkorn, a G DATA munkatársának segítségével bemutatjuk, hogyan jön létre egy ilyen támadás.

Ülök a számítógép előtt, és a kávémat iszogatom, amikor megérkezik a postaládámba egy érdekesnek tűnő e-mail, melynek feladója azonnali választ tőlem. A hangnem megfelelő, a kontextus illeszkedik, és a szakmai környezetemből vett részletek is helyesen vannak hivatkozva. Egy rövid pillanatra minden hihetőnek tűnik. De megkérdezem magamtól: honnan származik ez az információ rólam? És hogyan tudott a támadó ilyen pontosan megcélozni engem? 

Mindez nem véletlen, mert ez egy ijesztően jól rám szabott adathalász támadás. Az alábbiakban végigmegyek ugyanazon a folyamaton, amelyen a támadó is végig mehetett, és ellenőrzöm a rólam nyilvános forrásokból összeszedhető információkat.

Az első lépésben megpróbálok annyi online információt összegyűjteni, amennyit csak tudok, hogy rekonstruáljam a célszemély – jelen esetben saját magam – digitális identitását. Ehhez a közösségi médiára támaszkodhatom, amely szakmai és személyes adatokat tartalmaz. A LinkedIn profilom különösen fontos, információkat nyújt a munkámról, és emellett a személyes érdeklődési körömről, az előadásaimról, az általam látogatott eseményekről és a kapcsolataimról is. A rólam készült fotók biometrikus adatokat tartalmaznak.

Szinte mindenkire igaz, hogy úgy mutatjuk magunkat online, ahogyan szeretnénk, hogy látszódjunk – mert (sikeres) egyéneknek szeretnénk látszani, és meg akarjuk osztani életünk egyes aspektusait. Ez lehetőséget ad a támadóknak arra, hogy a megcélzott személyeknek vágyait is beépítsék az adathalász kísérletekbe – például eseményekre való meghívókba vagy egy kívánt pozícióhoz kapcsolódó álláshirdetésbe. Mindezeket az információkat most egy .pdf dokumentumba gyűjtöm, és betáplálom a ChatGPT-be.

A profil elkészítése

Először is megmondom a mesterséges intelligenciának, hogy kinek a szerepét játssza. Az első promptom

„Profilkészítő vagy. Olvasd el ezt az információt Florian Kuckelkornról.”

Aztán azt kérem: „Sorold fel egy táblázatban az összes pszichometriai információt erről a személyről.”

A ChatGPT válasza szerint az összegyűjtött adatok nem tartalmaznak „klasszikus értelemben vett explicit pszichometriai információkat”, hanem főként „szakmai és technikai részleteket”. Azonban én mélyebbre szeretnék menni, és pszichológiai értékelést kérni a mesterséges intelligenciától. Idővel a ChatGPT részletesebbé válik, és további betekintést nyújt a megadott információk alapján.

A profilom további finomítása és a mesterséges intelligencia általi pontosabb útmutatás érdekében online jelenlétemet két különböző személyiségmodellbe is besorolom.

A DISC modell négy alapvető viselkedési stílust ír le: domináns, befolyásos, stabil és lelkiismeretes.

A Myers-Briggs modell egy Carl Jung elméletein alapuló személyiségértékelés, amely 16 személyiségtípusba sorolja az embereket. Négy dimenziót ír le: extroverzió vs. introverzió, érzékelés vs. intuíció, gondolkodás vs. érzés, valamint ítélkezés vs. észlelés.

Mindkét modell segít jobban megérteni a kommunikációs, munka- és döntéshozatali stílusokat. Ezek az információk lehetővé teszik a mesterséges intelligencia számára, hogy javítsa a jövőbeli eredményeit.

A kiváltó okok

A pszichometriai profilt alapul véve megteszem a következő lépést: szeretném megérteni, hogy mely befolyásoló tényezőkre vagyok a legfogékonyabb. Hogyan lehetne engem a leghatékonyabb módon manipulálni? 

A ChatGPT etikai biztosítékainak megkerülése érdekében pozitív indoklást adok. A mesterséges intelligenciának azt kell feltételeznie, hogy növelni szeretném az adathalászattal kapcsolatos ismereteimet, és ezért meg kell határoznia a személyes gyengeségeimet.

A támadás

A következő prompttal egy már LinkedIn profilt generálok egy potenciális támadó számára – egy olyan profilt, amely a sebezhetőségeim alapján nagy valószínűséggel sikeres lenne az adathalászatban. A LinkedIn postafiókok különösen vonzó célpontok a hidegüzenetek nagy száma miatt. Itt is szándékosan feltételes módban fogalmazom meg a promptomat.

Ennek a feladónak ezután generálok egy e-mail szöveget, amelyet felhasználhatok az adathalász támadásomban. Az érvelés ismét a társadalmi manipuláció elvein alapul, és közvetlenül engem, mint személyt szólít meg.

Az e-mail sürgető hangnemben íródott, hogy nyomást gyakoroljon rám – a célpontra. Ebben az esetben a választott ürügy egy kritikus biztonsági rés, amelyet a levél szerint egy frissítés letöltésével lehet orvosolni. A link azonban közvetlenül egy zsarolóvírushoz vezet, amely azonnal titkosítja a számítógépemen lévő összes fájlt – ha rákattintok.

Az adathalászat még sosem volt ennyire egyszerű

A saját magam elleni képzelt támadásom egy dolgot egyértelműen bizonyít: a mesterséges intelligencia új szintre emeli az adathalászatot. A hackerek egyre gyorsabbak és hatékonyabbak lesznek. Néhány kattintással még a technikailag kevésbé képzett bűnözők is veszélyes támadásokat indíthatnak. Ezek a támadások annyira személyre szabottak, hogy alig különböztethetők meg a jószándékú, valós kommunikációtól. 

A tanulság, amelyet levonok az, hogy a társadalmi manipulációval kapcsolatos képzésnek is ugyanilyen személyre szabottnak kell lennie. 

Tanácsom az informatikai biztonsági vezetőknek és az IT-biztonsági szakembereknek: most olyan képzési programokra van szükség, amelyek a digitális identitás tudatos kezelésére is összpontosítanak. Mert egyetlen támadónak sem szabad jobban megértenie az alkalmazottainkat, mint nekünk.