Όταν ζητάμε από ένα εργαλείο Τεχνητής Νοημοσύνης (TN) να μας συνοψίσει μια ιστοσελίδα, υποθέτουμε ότι το αποτέλεσμα είναι αξιόπιστο… Δεν είναι πάντα.
Και αυτό αλλάζει τον τρόπο που πρέπει να σκεφτόμαστε σήμερα τις ηλεκτρονικές απάτες τύπου “phishing”, έχοντας πάντα κατά νου ότι η Τεχνητή Νοημοσύνη είναι εργαλείο παραγωγικότητας και όχι εμπιστοσύνης, αναφέρει σχετικό δελτίο Τύπου της Εθνικής Αρχής Κυβερνοασφάλειας.
Με τη διάδοση εργαλείων Τεχνητής Νοημοσύνης, οι επιθέσεις κοινωνικής μηχανικής εισέρχονται και μέσα σε ροές εργασίας που υποστηρίζονται από εργαλεία ΤΝ (AI-assisted workflows), όπως σύνοψη ιστοσελίδων, εγγράφων ή online περιεχομένου. Πρόσφατες αναλύσεις της διεθνούς κοινότητας κυβερνοασφάλειας ανέδειξαν τεχνικές έμμεσης εισαγωγής εντολών (indirect prompt injection) σε λειτουργίες σύνοψης περιεχομένου. Το phishing προσπερνά το πεδίο των email και των SMS διευρύνοντας την επιφάνεια επίθεσης.
Τι είναι το ChatGPhish
Πρόκειται για ένα κακόβουλο περιεχόμενο, ορατό ή κρυμμένο σε μια φαινομενικά νόμιμη ιστοσελίδα που μπορεί να επηρεάσει την απάντηση ενός εργαλείου ΤΝ και να εμφανίσει μέσα στο περιβάλλον του παραπλανητικούς συνδέσμους, μεταμφιεσμένους ως ειδοποιήσεις λογαριασμού ή ασφαλείας, ψευδείς προειδοποιήσεις και κουμπιά «επαλήθευσης» ακόμα και QR code που μετατοπίζουν την επίθεση στο κινητό του χρήστη. Γι αυτό συνιστάται προσοχή και δέουσα σημασία.
Σύμφωνα με πρόσφατη ανάλυση του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφαλεία (ENISA), πάνω από το 80% των επιθέσεων phishing αξιοποιεί σήμερα περιεχόμενο παραγόμενο ή ενισχυμένο με ΤΝ, ενώ καταγράφεται σημαντική αύξηση των απόπειρων prompt injection σε δημόσια εργαλεία ΤΝ. Η εμπιστοσύνη που αποδίδει ο χρήστης σε μία πλατφόρμα ΤΝ (AI assistant) μετατρέπεται έτσι σε φορέα κινδύνου, εφόσον δεν συνοδεύεται από επαλήθευση.
Τι πρέπει να προσέχουμε
Η Εθνική Αρχή Κυβερνοασφάλειας υπενθυμίζει:
- Δεν
ακολουθούμε συνδέσμους που εμφανίζονται σε περιλήψεις που έχουν παραχθεί από
εργαλεία ΤΝ (AI-generated summaries) χωρίς ανεξάρτητη επιβεβαίωση μέσω επίσημου διαύλου του φορέα. - Αποφεύγουμε
τη σάρωση QR code που εμφανίζονται σε περιεχόμενο που έχει
παραχθεί από εργαλεία ΤΝ ή σε περιεχόμενο μη επαληθευμένης προέλευσης, ιδίως
όταν οδηγούν σε φόρμα σύνδεσης ή εισαγωγής στοιχείων. - Δεν
εισάγουμε διαπιστευτήρια (κωδικούς, OTP, στοιχεία ταυτοποίησης) σε σελίδες που ανοίξαμε μέσω σύστασης ή περίληψης
εργαλείου ΤΝ. - Επιβεβαιώνουμε
πάντοτε το επίσημο domain του
φορέα ή της υπηρεσίας πριν από οποιαδήποτε ενέργεια. - Σε
περίπτωση υποψίας κακόβουλης ενέργειας, ενημερώνουμε άμεσα την αρμόδια ομάδα
ασφάλειας πληροφοριών ή τον υπεύθυνο πληροφορικής του οργανισμού.
Διαβάστε περισσότερα στο iefimerida.gr
Όταν ζητάμε από ένα εργαλείο Τεχνητής Νοημοσύνης (TN) να μας συνοψίσει μια ιστοσελίδα, υποθέτουμε ότι το αποτέλεσμα είναι αξιόπιστο… Δεν είναι πάντα.
Και αυτό αλλάζει τον τρόπο που πρέπει να σκεφτόμαστε σήμερα τις ηλεκτρονικές απάτες τύπου “phishing”, έχοντας πάντα κατά νου ότι η Τεχνητή Νοημοσύνη είναι εργαλείο παραγωγικότητας και όχι εμπιστοσύνης, αναφέρει σχετικό δελτίο Τύπου της Εθνικής Αρχής Κυβερνοασφάλειας.
Με τη διάδοση εργαλείων Τεχνητής Νοημοσύνης, οι επιθέσεις κοινωνικής μηχανικής εισέρχονται και μέσα σε ροές εργασίας που υποστηρίζονται από εργαλεία ΤΝ (AI-assisted workflows), όπως σύνοψη ιστοσελίδων, εγγράφων ή online περιεχομένου. Πρόσφατες αναλύσεις της διεθνούς κοινότητας κυβερνοασφάλειας ανέδειξαν τεχνικές έμμεσης εισαγωγής εντολών (indirect prompt injection) σε λειτουργίες σύνοψης περιεχομένου. Το phishing προσπερνά το πεδίο των email και των SMS διευρύνοντας την επιφάνεια επίθεσης.
Τι είναι το ChatGPhish
Πρόκειται για ένα κακόβουλο περιεχόμενο, ορατό ή κρυμμένο σε μια φαινομενικά νόμιμη ιστοσελίδα που μπορεί να επηρεάσει την απάντηση ενός εργαλείου ΤΝ και να εμφανίσει μέσα στο περιβάλλον του παραπλανητικούς συνδέσμους, μεταμφιεσμένους ως ειδοποιήσεις λογαριασμού ή ασφαλείας, ψευδείς προειδοποιήσεις και κουμπιά «επαλήθευσης» ακόμα και QR code που μετατοπίζουν την επίθεση στο κινητό του χρήστη. Γι αυτό συνιστάται προσοχή και δέουσα σημασία.
Σύμφωνα με πρόσφατη ανάλυση του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφαλεία (ENISA), πάνω από το 80% των επιθέσεων phishing αξιοποιεί σήμερα περιεχόμενο παραγόμενο ή ενισχυμένο με ΤΝ, ενώ καταγράφεται σημαντική αύξηση των απόπειρων prompt injection σε δημόσια εργαλεία ΤΝ. Η εμπιστοσύνη που αποδίδει ο χρήστης σε μία πλατφόρμα ΤΝ (AI assistant) μετατρέπεται έτσι σε φορέα κινδύνου, εφόσον δεν συνοδεύεται από επαλήθευση.
Τι πρέπει να προσέχουμε
Η Εθνική Αρχή Κυβερνοασφάλειας υπενθυμίζει:
- Δεν
ακολουθούμε συνδέσμους που εμφανίζονται σε περιλήψεις που έχουν παραχθεί από
εργαλεία ΤΝ (AI-generated summaries) χωρίς ανεξάρτητη επιβεβαίωση μέσω επίσημου διαύλου του φορέα. - Αποφεύγουμε
τη σάρωση QR code που εμφανίζονται σε περιεχόμενο που έχει
παραχθεί από εργαλεία ΤΝ ή σε περιεχόμενο μη επαληθευμένης προέλευσης, ιδίως
όταν οδηγούν σε φόρμα σύνδεσης ή εισαγωγής στοιχείων. - Δεν
εισάγουμε διαπιστευτήρια (κωδικούς, OTP, στοιχεία ταυτοποίησης) σε σελίδες που ανοίξαμε μέσω σύστασης ή περίληψης
εργαλείου ΤΝ. - Επιβεβαιώνουμε
πάντοτε το επίσημο domain του
φορέα ή της υπηρεσίας πριν από οποιαδήποτε ενέργεια. - Σε
περίπτωση υποψίας κακόβουλης ενέργειας, ενημερώνουμε άμεσα την αρμόδια ομάδα
ασφάλειας πληροφοριών ή τον υπεύθυνο πληροφορικής του οργανισμού.
