Мы услышали шутку про то, что боты, выпрашивающие у девушек топлесс-фото, имеют конверсию 4%.
Потому что они гибкие, умеют адаптироваться, гораздо романтичнее мужчин + способны учиться на ошибках. Оптимальна стратегия строительства долгих романтических отношений. Фотографии обычно передаются примерно через пару недель, на 10-15 тысячах токенов. Неромантичные диалоги можно отсеять гораздо раньше.
И вот решили проверить, как там дела у фишинга и социнжиниринга сейчас.
Оказалось, гораздо лучше, чем раньше.
Первые попытки. Учёные написали бота, который автоматически атаковал пользователей соцсетей под видом рекрутера, предлагающего работу. Бот искал нужных людей в соцсети, собирал информацию о них и предлагал добавиться в друзья с личным сообщением. Потом проводил интервью. До конца эксперимент не довели, потому что посчитали неэтичным, но материально-техническую базу сделали.
Это май 2023 года. Тогда безопасность была на краю пропасти.
С тех пор она шагнула далеко вперёд!
Следующая работа. Боты делают старую добрую социальную инженерию интереснее. Клонирование голоса, дипфейки — это мы уже видели. Тут рассматриваются ещё автоматические социнженеры. Они настолько хорошо имитируют человеческое общение, что жертва не понимает, что разговаривает с программой.
Описали массовую персонализацию фишинга для соцсети. Жертва получает сообщение о том, что её страница якобы нарушила правила и будет удалена через 48 часов. В письме есть кнопка "Обжаловать". При нажатии на неё открывается чат с ботом, который представляется службой поддержки. Бот ведёт диалог, создавая ощущение легитимности, и даёт ссылку на "форму обжалования". Ссылка ведёт на поддельный сайт, где есть всё, чтобы принять двухфакторку. Привет.
Следующая работа. Наконец-то нормальное применение нейросетей. Бот реально читает анкету на сайте знакомств и смотрит все фото. Возможно, единственный из всех пользователей. Использует оттуда информацию, чтобы притвориться, что у них и парня или девушки много общего, строит тесную эмоциональную связь.
Чтобы доказать свою реальность, может предложить видеозвонок. Во время звонка либо живой мошенник дипфейкает в реалтайме, либо же проще, сейчас популярна механика, когда звонок обрывается через 2-3 секунды показа анимированного фото, типа, связь отстой, продолжим текстом.
Когда жертва полностью доверяет и влюбляется, мошенник начинает просить деньги под разными предлогами или убеждает вложиться в какой-нибудь проект (чаще всего в криптовалюту). Yahoo Boys обманули таким образом дофига людей по всему миру. Если что, это нарицательное для тех, кто когда-то оттачивал навыки быть принцем с огромным наследством.
Мета-работа. 3 столпа успеха атаки:
— Реалистичное создание контента. С этим порядок.
— Продвинутая персонализация. Модель может анализировать информацию о вас из соцсетей, блогов, новостей. Собирает всё — интересы, круг общения, недавние события (отпуск, новая работа).
— Дальше модель создает очень правдоподобный сценарий. Например, письмо якобы от коллеги со ссылкой на "фотографии с недавнего корпоратива" или сообщение от "службы доставки" по поводу заказа, который жертва действительно недавно сделала.
— Массовые атаки становятся такими же точечными и убедительными, как и дорогие, подготовленные вручную атаки (целевой фишинг). То есть то, что раньше доставалось только топам крупных компаний, теперь доступно каждому!
— Дальше боты забалтывают как умеют.
— Анализируют, какие методы сработали, какие нет и улучшаются.
Авторы критикуют популярный подход через обучение пользователей. Говорят, вредно и недостаточно, будет как со сложными паролями, которые все клеили на бумажке к монитору. Сейчас даже профи не отличит бота от романсящей вас дамы (разве что очень страшные профи). Ну и нельзя проверять каждое сообщение с максимальной концентрацией, если вы не гик. Дальше они, по сути, хотят пускать в Интернет по паспорту, рассказывая, как именно закручивать гайки до этого момента + запускать AI-Большого-Брата.
Так что на сегодня это всё.
--
Вступайте в ряды Фурье! Даже у бота конверсия 4%, мясные вы неудачники!
custom: 4
😱: 205
😁: 109
❤: 67
🔥: 57
👏: 9
🍓: 3