AI Menulis Email Phishing Lebih Baik Daripada Manusia dalam Tes Terbaru


Pemrosesan bahasa alami terus menemukan jalannya ke sudut yang tak terduga. Kali ini, email phishing. Dalam sebuah penelitian kecil, para peneliti menemukan bahwa mereka dapat menggunakan model bahasa pembelajaran mendalam GPT-3, bersama dengan platform AI-as-a-service lainnya, untuk secara signifikan menurunkan hambatan masuk untuk menyusun kampanye spearphishing dalam skala besar.

Para peneliti telah lama memperdebatkan apakah akan sepadan dengan upaya penipu untuk melatih algoritme pembelajaran mesin yang kemudian dapat menghasilkan pesan phishing yang menarik. Pesan phishing massal sederhana dan formula, setelah semua, dan sudah sangat efektif. Namun, pesan “spearphishing” yang sangat bertarget dan disesuaikan membutuhkan lebih banyak tenaga untuk ditulis. Di situlah NLP mungkin sangat berguna.

Pada konferensi keamanan Black Hat dan Defcon di Las Vegas minggu ini, tim dari Badan Teknologi Pemerintah Singapura mempresentasikan percobaan baru-baru ini di mana mereka mengirim email phishing yang ditargetkan yang mereka buat sendiri dan yang lain yang dihasilkan oleh platform AI-as-a-service ke 200 dari rekan-rekan mereka. Kedua pesan tersebut berisi tautan yang sebenarnya tidak berbahaya tetapi hanya melaporkan kembali rasio klik-tayang kepada para peneliti. Mereka terkejut menemukan bahwa lebih banyak orang mengklik tautan dalam pesan yang dihasilkan AI daripada yang ditulis manusia—dengan selisih yang signifikan.

“Para peneliti telah menunjukkan bahwa AI membutuhkan beberapa tingkat keahlian. Dibutuhkan jutaan dolar untuk melatih model yang sangat bagus,” kata Eugene Lim, spesialis keamanan siber Badan Teknologi Pemerintah. “Tetapi begitu Anda memasangnya di AI-as-a-service, biayanya beberapa sen dan sangat mudah digunakan—cukup SMS masuk, SMS keluar. Anda bahkan tidak perlu menjalankan kode, Anda cukup memberinya prompt dan itu akan memberi Anda output. Sehingga menurunkan penghalang masuk ke audiens yang jauh lebih besar dan meningkatkan target potensial untuk spearphishing. Tiba-tiba setiap email dalam skala massal dapat dipersonalisasi untuk setiap penerima.”

Para peneliti menggunakan platform GPT-3 OpenAI bersama dengan produk AI-as-a-service lainnya yang berfokus pada analisis kepribadian untuk menghasilkan email phishing yang disesuaikan dengan latar belakang dan sifat rekan mereka. Pembelajaran mesin yang berfokus pada analisis kepribadian bertujuan untuk memprediksi kecenderungan dan mentalitas seseorang berdasarkan masukan perilaku. Dengan menjalankan output melalui berbagai layanan, para peneliti dapat mengembangkan saluran yang mengatur dan menyempurnakan email sebelum mengirimkannya. Mereka mengatakan bahwa hasilnya terdengar “sangat manusiawi” dan platform tersebut secara otomatis memberikan hal-hal spesifik yang mengejutkan, seperti menyebutkan undang-undang Singapura ketika diperintahkan untuk membuat konten untuk orang-orang yang tinggal di Singapura.

Sementara mereka terkesan dengan kualitas pesan sintetis dan berapa banyak klik yang mereka peroleh dari rekan dibandingkan yang dibuat oleh manusia, para peneliti mencatat bahwa percobaan itu hanyalah langkah pertama. Ukuran sampel relatif kecil dan kelompok sasaran cukup homogen dalam hal pekerjaan dan wilayah geografis. Selain itu, baik pesan yang dibuat oleh manusia maupun yang dihasilkan oleh saluran AI sebagai layanan dibuat oleh orang dalam kantor daripada penyerang luar yang mencoba menyerang nada yang tepat dari jauh.

“Ada banyak variabel yang harus diperhitungkan,” kata Tan Kee Hock, spesialis keamanan siber Badan Teknologi Pemerintah.

Namun, temuan tersebut mendorong para peneliti untuk berpikir lebih dalam tentang bagaimana AI-as-a-service dapat berperan dalam kampanye phishing dan spearphishing ke depan. OpenAI sendiri, misalnya, telah lama mengkhawatirkan potensi penyalahgunaan layanannya sendiri atau layanan serupa lainnya. Para peneliti mencatat bahwa itu dan penyedia layanan AI sebagai layanan lainnya memiliki kode etik yang jelas, mencoba mengaudit platform mereka untuk aktivitas yang berpotensi berbahaya, atau bahkan mencoba memverifikasi identitas pengguna sampai tingkat tertentu.

“Penyalahgunaan model bahasa adalah masalah di seluruh industri yang kami anggap sangat serius sebagai bagian dari komitmen kami terhadap penyebaran AI yang aman dan bertanggung jawab,” kata OpenAI kepada WIRED dalam sebuah pernyataan. “Kami memberikan akses ke GPT-3 melalui API kami, dan kami meninjau setiap penggunaan produksi GPT-3 sebelum diluncurkan. Kami memberlakukan tindakan teknis, seperti batas tarif, untuk mengurangi kemungkinan dan dampak penggunaan berbahaya oleh pengguna API. Sistem pemantauan dan audit aktif kami dirancang untuk memunculkan potensi bukti penyalahgunaan pada tahap sedini mungkin, dan kami terus bekerja untuk meningkatkan akurasi dan efektivitas alat keselamatan kami.”

Diposting oleh : SGP Prize