پست‌های عمومی اینستاگرام؛ سوخت تازه حملات فیشینگ مبتنی بر هوش مصنوعی

پژوهشگران هشدار داده‌اند که تنها چند پست عمومی در اینستاگرام می‌تواند اطلاعات کافی برای تولید ایمیل‌های فیشینگ بسیار متقاعدکننده با کمک هوش مصنوعی فراهم کند؛ حملاتی که تشخیص آن‌ها حتی برای کاربران باتجربه نیز دشوار است.

مطالعه‌ای مشترک از پژوهشگران دانشگاه تگزاس در آرلینگتون و دانشگاه ایالتی لوئیزیانا نشان می‌دهد مهاجمان سایبری می‌توانند با استفاده از اطلاعات عمومی شبکه‌های اجتماعی، ایمیل‌هایی شخصی‌سازی‌شده و کاملاً قابل‌باور تولید کنند؛ بدون آنکه نیازی به هک پایگاه‌های داده یا عملیات طولانی جمع‌آوری اطلاعات داشته باشند.

فقط چند پست کافی است

طبق نتایج این تحقیق، اطلاعاتی مانند عکس‌ها، کپشن‌ها، علایق، جزئیات روابط شخصی و حتی موقعیت‌های مکانی منتشرشده در اینستاگرام، می‌تواند به مهاجمان برای ساخت پیام‌های فیشینگ هدفمند کمک کند.

محققان در این پروژه حدود ۱۸ هزار ایمیل فیشینگ با استفاده از پنج مدل هوش مصنوعی شامل GPT-4، Claude 3 Haiku، Gemini 1.5 Flash، Gemma 7B و Llama 3.3 تولید کردند. داده‌های مورد استفاده نیز از فعالیت عمومی ۲۰۰ کاربر اینستاگرام جمع‌آوری شده بود.

فیشینگ شخصی‌سازی‌شده باورپذیرتر است

ایمیل‌های تولیدشده بر پایه چند تکنیک رایج مهندسی اجتماعی طراحی شده بودند؛ از جمله:

طعمه‌گذاری (Baiting)

scareware

تله عاشقانه (Honey Trap)

جعل هویت

سوءاستفاده احساسی شخصی‌سازی‌شده

بسیاری از این ایمیل‌ها به جزئیات واقعی کاربران مانند تولد، سفرها، سرگرمی‌ها، رویدادهای محلی یا روابط شخصی اشاره می‌کردند؛ موضوعی که باعث می‌شد پیام‌ها طبیعی‌تر و قابل‌اعتمادتر به نظر برسند.

بررسی‌ها نشان داد مدل‌های GPT-4 و Claude در تولید ایمیل‌های فیشینگ متقاعدکننده عملکرد بهتری نسبت به سایر مدل‌ها داشتند. این پیام‌ها از نظر کیفیت نگارشی، دستکاری احساسی، قدرت اقناع و شخصی‌سازی، امتیاز بالاتری نسبت به نمونه‌های واقعی فیشینگ ثبت‌شده در پایگاه داده APWG کسب کردند.

کاربران فریب ایمیل‌های AI را بیشتر می‌خورند

در بخش دیگری از این پژوهش، ۷۰ نفر در یک آزمایش رفتاری شرکت کردند و ایمیل‌های فیشینگ تولیدشده توسط هوش مصنوعی را با نمونه‌های واقعی مقایسه کردند.

نتایج نشان داد کاربران تشخیص ایمیل‌های ساخته‌شده توسط هوش مصنوعی را دشوارتر می‌دانند. در برخی موارد حتی شرکت‌کنندگان این پیام‌ها را کمتر از ایمیل‌های واقعی «مشکوک» ارزیابی کردند.

ایمیل‌های مبتنی بر جعل هویت و پیام‌هایی که شبیه ادامه یک گفت‌وگوی واقعی بودند، کمترین میزان شک و تردید را در میان کاربران ایجاد کردند؛ به‌ویژه زمانی که به فعالیت‌های اخیر آنلاین یا مخاطبان مورد اعتماد اشاره داشتند.

تنها ۵ پست اطلاعات کافی می‌دهد

یکی از یافته‌های نگران‌کننده این تحقیق آن است که مهاجمان برای ساخت حملات مؤثر، به حجم زیادی از اطلاعات نیاز ندارند.

محققان اعلام کردند بیشترین داده‌های مفید معمولاً در همان چند پست ابتدایی کاربران یافت می‌شود و پس از حدود پنج پست، میزان اطلاعات جدید تقریباً ثابت می‌ماند. به گفته آن‌ها، بین ۱۰ تا ۱۵ پست عمومی برای اجرای گسترده حملات فیشینگ شخصی‌سازی‌شده کافی است.

دور زدن محدودیت‌های امنیتی هوش مصنوعی

پژوهشگران همچنین نشان دادند مهاجمان می‌توانند محدودیت‌های امنیتی مدل‌های هوش مصنوعی را نیز دور بزنند. برای مثال، به‌جای استفاده از واژه‌هایی مانند «کلاهبرداری» یا «فریب»، از عباراتی نرم‌تر مثل «شخصی‌سازی پیام» استفاده می‌شود تا سیستم‌های ایمنی فعال نشوند.

در برخی موارد نیز درخواست تولید پیام فیشینگ در قالب تمرین نگارشی یا مکاتبه دوستانه مطرح شده بود.

آزمایش‌ها نشان داد بسیاری از سیستم‌های ایمنی فعلی در جلوگیری از تولید محتوای فیشینگ عملکرد قابل‌اعتمادی ندارند.

هزینه حمله؛ کمتر از یک سنت

طبق اعلام پژوهشگران، هزینه تولید هر ایمیل فیشینگ با هوش مصنوعی کمتر از یک سنت است و ساخت هر پیام تنها چند ثانیه زمان می‌برد؛ مسئله‌ای که می‌تواند اجرای حملات گسترده و کم‌هزینه را برای مجرمان سایبری بسیار ساده‌تر کند.