Cómo la IA y el aprendizaje automático están cambiando el juego del phishing

Los malos actores han aprendido: cuantos más datos puedan recopilar sobre usted, con más éxito podrán phishing. Esta es probablemente la razón por la cual este vector de ataque nunca ha sido tan popular.

El informe State of the Phish 2022 de Proofpoint encontró que el 83 % de las organizaciones experimentaron un ataque de phishing de correo electrónico exitoso en 2021, un aumento del 46 % desde 2020, mientras que el 86 % de las empresas experimentaron ataques de phishing masivos y el 77 % experimentaron ataques de compromiso de correo electrónico empresarial (BEC). .

Los ataques de phishing globales han aumentado un 29 % en los últimos 12 meses hasta un récord de 873,9 millones de ataques, según el último Informe de phishing de Zscaler ThreatLabz, y ha habido un número récord de ataques de phishing (1 025 968) en el primer trimestre de 2022, según actividad de suplantación de identidad. Informe de tendencias del Grupo de trabajo antiphishing (APWG). Pero las cosas se complican aún más.

Los delincuentes ahora toman e ingiere todos los datos pirateados que se encuentran en Internet y los combinan con inteligencia artificial (IA) para apuntar y atacar a los usuarios. Esta práctica preocupa más que nunca a algunas de las empresas más grandes del mundo a medida que aumenta el nivel de sofisticación de los intentos de phishing. ¿La parte aterradora? Hay un aumento en los pagos exitosos de phishing y ransomware, y la IA utilizada aún no es tan inteligente.

La evolución del phishing

En esencia, la ingeniería social consiste en tirar del corazón emocional de un usuario para obtener una respuesta que, en última instancia, resulte en que proporcione información personal, como contraseñas, información de tarjetas de crédito, etc.

Ataques de phishing no sofisticados en forma de correos electrónicos, SMS, códigos QR, etc. por lo general, son fáciles de detectar si sabes qué buscar. Los errores gramaticales, los errores tipográficos, los enlaces sospechosos, los logotipos falsos y las direcciones de correo electrónico «de» que no coinciden con la fuente creíble que afirman ser son señales claras.

Estos ataques a menudo se llevaron a cabo en masa, dirigidos a millones de personas para ver quién mordía. Pero los malos actores han evolucionado, al igual que sus tácticas.

Los piratas informáticos han comenzado a utilizar la IA para atacar a las personas de formas más inteligentes. Los ejemplos perfectos son los mensajes de su «departamento de TI» que contienen información sobre su trabajo o un ataque de phishing personalizado y directo, que incluía su contraseña real, que le informa que su cuenta ha sido comprometida.

Ahora, una vez más, los malos actores van un paso más allá.

La revolución del phishing de IA

Los piratas informáticos aman y acumulan datos. Pero los datos que más valoran son los datos pirateados, no solo la información que han pirateado o rescatado personalmente. A los actores de amenazas les encanta cada bit de datos que alguna vez se filtró a la dark web.

Las filtraciones de datos pueden decirles a los piratas informáticos todo, desde el apellido de soltera de su madre hasta su fecha de nacimiento, contraseñas anteriores e incluso sus intereses personales. Si bien es probable que no sea algo que no haya escuchado antes, lo que ha cambiado es la forma en que los estafadores usan esta información.

Los malos actores ahora combinan estos datos con IA para atacar a los usuarios con ataques de phishing increíblemente sofisticados que son más convincentes que nunca. Y lo están haciendo con una IA que aún no es tan inteligente.

La IA no puede desviarse de su ruta preprogramada, por lo que no tenemos que preocuparnos de que piense por sí misma. Pero a medida que las personas se vuelven más inteligentes, pueden construir modelos más sofisticados y entrenar a la IA para ejecutar escenarios más complejos. A medida que aumenta el nivel de sofisticación, todas las señales apuntan a un futuro en el que el phishing se parece mucho a la publicidad dirigida.

Los anuncios dirigidos cumplen con el phishing dirigido

Es casi imposible evitar los anuncios en estos días. Aparecen en todas partes según su historial de navegación, búsqueda y redes sociales. Hemos llegado al punto en que bromeamos acerca de que los anunciantes saben lo que quieres antes de que sepas que lo quieres.

¿Cuánto tiempo hasta que los atacantes consigan este avance? ¿Cuánto tiempo pasará antes de que una empresa de inteligencia comercial sea pirateada y los piratas informáticos utilicen los mismos datos que utilizan los anunciantes para phishing? Las campañas de phishing dirigidas casi en tiempo real no son un concepto lejano; está en el horizonte.

Imagine que está buscando boletos para el Super Bowl y en cuestión de minutos tiene correos electrónicos de phishing en su bandeja de entrada que le ofrecen experiencias VIP del Super Bowl. Esta es la amenaza real e inmediata que plantea la IA, y nos estamos acercando cada vez más a esta realidad.

El futuro del phishing

La IA y el aprendizaje automático (ML) se utilizan actualmente para eludir sistemáticamente todos nuestros controles de seguridad. Los ataques ocurren a un nivel y sofisticación que ningún humano, o grupo de humanos, podría lograr sin un poco de inteligencia (artificial).

Si cree que los malos actores necesitan crear un brillante bot de piratería de inteligencia artificial hecho a sí mismo para lograr estos objetivos, está equivocado. Simplemente necesitan crear una IA lo suficientemente inteligente como para interpretar y manipular conjuntos de datos específicos en escenarios específicos, que es exactamente lo que los piratas informáticos criminales y los actores del estado-nación están haciendo activamente para atacar y comprometer a personas y organizaciones.

La IA no es tan tecnológica como algunos piensan, pero aun así puede usarse para aprovecharse de personas desprevenidas. Al combinar IA y datos pirateados, los piratas informáticos crean campañas de phishing más específicas y sofisticadas y logran un mayor éxito.

AI y ML han reescrito las reglas y cambiado el juego de phishing, y no hay vuelta atrás. Si no abordamos esto ahora, el juego pronto quedará fuera de nuestro alcance.

Joshua Crumbaugh es director ejecutivo de PhishFirewall, Inc.