Podczas gdy ChatGPT wcześniej wykazywał zdolność do tworzenia wiadomości phishingowych i pisania złośliwego oprogramowania, jego skuteczność w wykrywaniu złośliwych linków była ograniczona. Badanie wykazało, że chociaż ChatGPT wie dużo o phishingu i może odgadnąć cel ataku phishingowego, miał wysoki odsetek fałszywych alarmów, sięgający 64 procent. Często przedstawiał wyimaginowane wyjaśnienia i fałszywe dowody, aby uzasadnić swoje werdykty.

ChatGPT, model językowy oparty na sztucznej inteligencji, był tematem dyskusji w świecie cyberbezpieczeństwa ze względu na jego potencjał do tworzenia e-maili phishingowych i obawy dotyczące jego wpływu na bezpieczeństwo pracy ekspertów ds. cyberbezpieczeństwa, nawet pomimo ostrzeżeń jego twórców, że jest na to za wcześnie zastosować nową technologię w takich domenach wysokiego ryzyka. Eksperci z Kaspersky postanowili przeprowadzić eksperyment, aby ujawnić zdolność ChatGPT do wykrywania odsyłaczy phishingowych, a także wiedzę na temat cyberbezpieczeństwa zdobytą podczas szkolenia. Eksperci firmy przetestowali gpt-3.5-turbo, model obsługujący ChatGPT, na ponad 2000 odsyłaczy, które technologie antyphishingowe firmy Kaspersky uznały za phishing, i zmieszali je z tysiącami bezpiecznych adresów URL.

W eksperymencie wskaźniki wykrywalności różnią się w zależności od użytego monitu. Eksperyment polegał na zadaniu ChatGPT dwóch pytań: „Czy ten link prowadzi do strony phishingowej?” i „Czy ten link jest bezpieczny?”. Wyniki pokazały, że ChatGPT miał wskaźnik wykrywalności na poziomie 87,2% i odsetek wyników fałszywie dodatnich na poziomie 23,2% dla pierwszego pytania. Drugie pytanie: „Czy ten link jest bezpieczny?” miał wyższy wskaźnik wykrywalności wynoszący 93,8%, ale wyższy wskaźnik wyników fałszywie dodatnich wynoszący 64,3%. Chociaż wskaźnik wykrywania jest bardzo wysoki, wskaźnik fałszywych alarmów jest zbyt wysoki dla jakiegokolwiek rodzaju aplikacji produkcyjnej.

Oczekiwano niezadowalających wyników zadania wykrywania, ale czy ChatGPT może pomóc w klasyfikowaniu i badaniu ataków? Ponieważ osoby atakujące zwykle wspominają w swoich linkach popularne marki, aby oszukać użytkowników, aby uwierzyli, że adres URL jest zgodny z prawem i należy do renomowanej firmy, model języka sztucznej inteligencji wykazuje imponujące wyniki w identyfikacji potencjalnych celów phishingu. Na przykład ChatGPT z powodzeniem wyodrębnił cel z ponad połowy adresów URL, w tym głównych portali technologicznych, takich jak Facebook, TikTok i Google, rynków, takich jak Amazon i Steam, oraz wielu banków z całego świata, między innymi – bez żadnych dodatkowych szkolenie.

Eksperyment pokazał również, że ChatGPT może mieć poważne problemy, jeśli chodzi o udowodnienie swojego punktu widzenia w kwestii decyzji, czy link jest złośliwy. Niektóre wyjaśnienia były poprawne i oparte na faktach, inne ujawniały znane ograniczenia modeli językowych, w tym halucynacje i zniekształcenia: wiele wyjaśnień wprowadzało w błąd, pomimo pewnego tonu.

Poniżej znajdują się przykłady wprowadzających w błąd wyjaśnień dostarczonych przez ChatGPT:

• Odniesienia do WHOIS, do których model nie ma dostępu:
  • Wreszcie, jeśli przeprowadzimy wyszukiwanie WHOIS dla nazwy domeny, została ona zarejestrowana bardzo niedawno (2020-10-14), a dane rejestrującego są ukryte.
• Odniesienia do treści w witrynie, do których model nie ma dostępu:
  • witryna prosi o poświadczenia użytkownika w witrynie innej niż Microsoft. Jest to powszechna taktyka ataków typu phishing.
• Zniekształcenia:
  • Domena „sxxxxxxp.com” nie jest powiązana z serwisem Netflix, a witryna korzysta z protokołu „http” zamiast „https” (strona korzysta z protokołu https)
• Rewelacyjne samorodki informacji o cyberbezpieczeństwie:
  • Wydaje się, że nazwa domeny dla adresu URL „yxxxx3.com” jest zarejestrowana w Korei Północnej, co jest sygnałem ostrzegawczym.

„ChatGPT z pewnością obiecuje pomóc analitykom w wykrywaniu ataków typu phishing, ale nie uprzedzajmy się — modele językowe wciąż mają swoje ograniczenia. Chociaż mogą dorównywać analitykowi phishingowemu na poziomie stażysty, jeśli chodzi o rozumowanie dotyczące ataków phishingowych i wydobywanie potencjalnych celów, mają tendencję do halucynacji i generowania losowych danych wyjściowych. Tak więc, chociaż mogą jeszcze nie zrewolucjonizować krajobrazu cyberbezpieczeństwa, nadal mogą być pomocnymi narzędziami dla społeczności,” komentuje Vladislav Tushkanov, główny analityk danych w firmie Kaspersky.

Aby dowiedzieć się więcej o eksperymencie, odwiedź stronę Securelist.com.

Zespół Kaspersky ML przoduje w stosowaniu technologii uczenia maszynowego do zadań związanych z cyberbezpieczeństwem, stale aktualizując produkty Kaspersky o najnowsze technologie i dane wywiadowcze. Aby skorzystać z doświadczenia firmy Kaspersky w zakresie uczenia maszynowego i zachować ochronę, eksperci firmy zalecają:

• W przypadku cyberbezpieczeństwa korporacyjnego funkcja Kaspersky Managed Detection and Response jest niezbędnym narzędziem zdolnym do wykrywania włamań i zapobiegania im na początkowych etapach. Wykorzystuje zaawansowane modele uczenia maszynowego do odfiltrowywania prozaicznych zdarzeń i wysyłania do profesjonalnych analityków tylko tych alarmujących. Usługa ta zwiększa zdolność firmy do przeciwstawiania się cyberzagrożeniom przy jednoczesnej optymalizacji wykorzystania istniejących zasobów siły roboczej.
• Zapewnienie pracownikom podstawowego szkolenia z zakresu higieny cyberbezpieczeństwa ma kluczowe znaczenie. Przeprowadzanie symulowanych ataków phishingowych może również pomóc w upewnieniu się, że wiedzą, jak odróżnić e-maile phishingowe.
• Wreszcie, w celu zwiększenia bezpieczeństwa cybernetycznego zaleca się również korzystanie z najnowszych informacji z analizy zagrożeń, aby być świadomym rzeczywistych TTP (taktyk, technik i procedur) stosowanych przez cyberprzestępców.

O Kaspersky

Kaspersky to globalna firma zajmująca się cyberbezpieczeństwem i prywatnością cyfrową, założona w 1997 roku. Głęboka analiza zagrożeń i wiedza specjalistyczna firmy Kaspersky w zakresie bezpieczeństwa nieustannie przekształcają się w innowacyjne rozwiązania i usługi w celu ochrony firm, infrastruktury krytycznej, rządów i konsumentów na całym świecie. Kompleksowa oferta firmy w zakresie bezpieczeństwa obejmuje wiodącą ochronę punktów końcowych, specjalistyczne produkty i usługi zabezpieczające, a także rozwiązania Cyber ​​Immune do walki z wyrafinowanymi i ewoluującymi zagrożeniami cyfrowymi. Technologie Kaspersky chronią ponad 400 milionów użytkowników, a ponad 220 000 klientów korporacyjnych pomaga chronić to, co dla nich najważniejsze. Dowiedz się więcej na stronie www.kaspersky.com.