해커들이 인공 지능을 사용하여 스케치 링크를 클릭하는 방법

트위터 사용자는 그들이 클릭하는 링크에 대해 더주의해야 할 수도 있습니다.

ZeroFox의 Philip Tully와 John Seymour는 Black Hat USA 2016 해커 컨벤션에서 4 월에 기계 학습 (인공 지능)을 사용하여 트위터 사용자가 악의적 인 웹 사이트에 대한 링크를 30 % ~ 66 %의 성공률로 개방 할 수 있다고 발표했습니다.

이 두 사람은 "스피어 피싱"시도를 돕기 위해 인공 지능을 사용할 수 있음을 입증하기 위해 특정 사용자를 대상으로하는 피싱 포스트를 트윗하는 방법을 배우는 반복적 인 신경 네트워크 인 SNAP_R을 만들었습니다. 스피어 피싱은 일반적인 피싱과는 달리 악의적 인 링크를 클릭하도록 사용자를 피싱하려는 직접적인 시도입니다. 로그인 정보를 요청하는 체인 또는 스팸 전자 메일과 같이 많은 사용자가 넓은 네트워크를 사용합니다. SNAP_R은 기본적으로 타겟을 찾고, 관심이 있다고 생각되는 트윗을 작성하고, Google의 URL 단축기를 사용하여 악의적 인 링크를 숨기고, 링크를 클릭하기를 바라는 대상의 트윗을 트윗합니다.

"90 명의 ​​사용자로 구성된 테스트에서 자동화 된 스피어 피싱 프레임 워크의 성공률은 30 %에서 66 % 사이였습니다."Tully와 Seymour는 SNAP_R에 대한 논문을 작성했습니다. "이것은 대규모 피싱 캠페인에서 5-14 % 이전에보고 된 것보다 더 성공적이며 대규모 수동 스피어 피싱 노력에 대해보고 된 45 %와 비교할 수 있습니다."

인공 지능은 데이터를 손상시키지 않고 데이터를 보호하는 데 자주 사용됩니다. Seymour와 Tully는 해커들이 A.I.를 두려워하지는 않지만 머리를 뒤집어서 보여 주려고했습니다. 해커가 목표에 맞지 않게 해커가 사용할 수 있다고 걱정해야합니다.

인공 지능이 앞으로 우리에게 미칠 영향을 연구하는 엘론 머스크 (Elon Musk)가 지원하는 프로젝트 인 오픈 아이 (OpenAI)는 7 월에 기술이 위험을 제기 할 수 있다고 말했다. OpenAI는 "AI의 초기 사용은 컴퓨터 시스템을 침입하는 것"이라고 밝혔다. "인공 지능 기법을 사용하여 정교한 해커가 AI 방법을 많이 사용하지 못하도록 막으려합니다."

SNAP_R의 작동 방식을 공개하는 것은 스피어 피싱 (spear phishing) 공격에 대한 "인식 제고 및 이해 증진"이라고합니다. 도구의 내부 동작에 대해 토론하면 트위터 사용자가 호기심을 억제하고 조심할 수 있다면 유사한 위협으로부터 트위터 사용자를 보호 할 수있는 방법을 찾을 수 있습니다.

"우리의 접근 방식은 소셜 미디어가 피싱 및 사회 공학 공격의 쉬운 대상으로 빠르게 부상하고 있다는 사실에 근거합니다"라고 Seymour와 Tully는 씁니다. "우리는 허용 가능한 게시물의 수위가 낮고, 링크가 짧아지고, API가 효과적이며, 개인 정보가 과도하게 노출되는 등 편의 서비스가 커뮤니티에서 허용되기 때문에 Twitter를 플랫폼으로 사용합니다."

이 프레젠테이션은 Black Hat USA 2016에서 사람들이 보안 위협을 이해하도록 돕기 위해 제공 한 것 중 하나였습니다. 애플의 새로운 버그 현상금 프로그램만큼 많은 영향을 미치지는 않지만, 해킹 툴이 어떻게 진화하는지 추적하는 것은 여전히 ​​좋은 일이다.

아래 SPAN_R에서 Seymour와 Tully의 전체 논문을 읽을 수 있습니다.