スラッシュネクストのダニエル・ケリーが書いている:

OpenAIのChatGPTのような人工知能(AI)技術の進歩は、ビジネスメール侵害(BEC)攻撃の新たなベクトルを導入した。 サイバー犯罪者はこのような技術を利用して、受信者にパーソナライズされた、非常に説得力のある偽メールの作成を自動化することができ、攻撃の成功確率を高めることができる。

AIテキスト生成ツールへのアクセスが容易になれば、詐欺師やサイバー犯罪者がフィッシング、スピアフィッシング、詐欺の目的でカスタムAIツールを使い始めることは驚くことではない。

これらのAIツールによって、詐欺師は、サイバー犯罪者の母国語を話さないユーザーをターゲットにするだけでなく、より効果的になるようにメールを改良することができる。

ダニエルが指摘した管理者ができる予防策をいくつか紹介しよう:

  • 要人やベンダーになりすまそうとする外部発信のEメールにフラグを立てる
  • 「緊急」、「電信送金」、「緊急」などのキーワードリストを使用する


組織や管理者が講じることができるその他の措置は以下の通りである:

  • 実際のフィッシング・メールのサンプルとともに、進化する脅威に関する従業員の継続的なトレーニング
  • フィッシングが成功した場合のSOPの策定
  • 重要なファイルのバックアップの確認とテスト


関連リンク:


Daniel Kelley for Slashnext writes:

The progression of artificial intelligence (AI) technologies, such as OpenAI’s ChatGPT, has introduced a new vector for business email compromise (BEC) attacks. ChatGPT, a sophisticated AI model, generates human-like text based on the input it receives. Cybercriminals can use such technology to automate the creation of highly convincing fake emails, personalised to the recipient, thus increasing the chances of success for the attack.

It’s not surprising that scammers and cybercriminals would start using custom AI tools for phishing, spear phishing, and scamming purposes as AI text generation tools become easier to access.

These AI tools would allow scammers to refine their emails to become more effective in addition to targeting users who may not speak the cybercriminals native language.

Some precautions that administrators can take pointed out by Daniel:

  • Flagging externally originating emails trying to impersonate key personnel or vendors
  • Using a keyword list with words such as “urgent”, “wire transfer, or emergency


Other steps organizations and administrators can take are:

  • Continuous training of employees on the evolving threats along with samples of actual phisihing emails
  • Having SOPs in the event of a successful phishing
  • Ensuring backups of critical files are checked and tests


Related:

📁 Category: Software

🏷 Tags: AI , ChatGPT , Cybercrime