Esta IA creará tuits que nunca sabrás que son spam

El mes pasado, algunas personas que twitteaban sobre Pokémon Go se convirtieron en sujetos involuntarios de un experimento que podría presagiar un nuevo y preocupante tipo de ataque en línea.





Investigadores de la industria entrenaron software de aprendizaje automático para escribir tweets como un humano para responder a algunas personas usando el hashtag #Pokemon, en una demostración de cómo los avances en el software que entiende el lenguaje podrían usarse para engañar a las personas en línea. Aproximadamente un tercio de las personas a las que se dirigió el software hicieron clic en un enlace benigno enviado por el software para probar qué tan convincente era.

Eso es mucho más alto que la tasa de éxito del 5 al 10 por ciento típica de los mensajes de phishing automatizados destinados a engañar a las personas para que hagan clic en enlaces para enviar malware o robar contraseñas, dice John Seymour, científico de datos sénior de una empresa de seguridad. CeroFOX . El sistema de aprendizaje automático se acerca a la tasa de éxito de aproximadamente el 40 por ciento de los mensajes de phishing creados a mano para engañar a una persona específica, dice.

Spearphishing es muy manual y toma decenas de minutos por objetivo, dice Seymour. Este enfoque es casi igual de preciso y está automatizado, por lo que podría usarse a una escala mucho mayor. No todos los tuits se ven muy pulidos, pero son efectivos, dice. Algunas personas respondieron diciendo que el enlace estaba roto y pidiendo que se enviara de nuevo.

Seymour presentó los resultados de sus experimentos con su colega Phil Tully en la conferencia de seguridad informática Black Hat en Las Vegas el jueves. La pareja dice que su trabajo muestra que la tecnología de aprendizaje automático podría permitir a los delincuentes aumentar drásticamente sus tasas de éxito.

El phishing y el spearphishing ya son problemas importantes. Cisco informó el año pasado que los mensajes de phishing enviados a través de Facebook eran la principal causa de acceso no autorizado a las redes corporativas.



El software de los investigadores de ZeroFOX, SNAP_R, puede funcionar de dos formas. Uno utiliza la misma técnica de inteligencia artificial, aprendizaje profundo, utilizada por empresas como Google para crear sistemas que pueden comprender y traducir idiomas. Fue entrenado en dos millones de mensajes de Twitter, lo que le permitió generar sus propios tweets de aspecto realista.

El segundo modo del sistema es más específico. Aprende a twittear mirando los tweets más recientes de un individuo y los introduce en una técnica más antigua llamada cadena de Markov. Luego puede generar tweets similares a los escritos por el objetivo, en los que una persona podría hacer clic pensando que el mensaje fue escrito por una persona con intereses similares.



SNAP_R también puede identificar y dirigirse a las personas más influyentes y activas que hablan sobre temas específicos o usan un hashtag específico. Busca palabras clave como CEO en el perfil de una persona e indicadores como su número de seguidores. ZeroFOX está lanzando una versión del software para ayudar a los investigadores a pensar sobre el potencial de este tipo de ataques y cómo defenderse de ellos.

El software ZeroFox generó estos tweets para intentar engañar a la gente en Twitter.

Mike Murray, vicepresidente de investigación de seguridad de la empresa de seguridad móvil Lookout, considera aterradora la posibilidad de utilizar el aprendizaje automático para automatizar el proceso de engañar a las personas en línea. Pero cree que pasará algún tiempo antes de que ese tipo de enfoque se utilice para organizar ataques reales.



A pesar del progreso reciente, las mejores técnicas de aprendizaje automático aún requieren experiencia especializada y están lejos de ser perfectas para generar lenguaje. Google es líder en lenguaje y aprendizaje automático. Pero su aplicación Inbox, capaz de generar respuestas a los correos electrónicos, solo puede sugerir respuestas cortas de una oración, dice Murray. Si Google no puede generar más de una oración, probablemente yo no pueda generar un correo electrónico de phishing realmente bueno.

Tully de ZeroFOX tampoco predice el uso delictivo generalizado del phishing automático en el futuro. Pero argumenta que los algoritmos de aprendizaje automático son cada vez más fáciles de usar y no es necesario que dominen perfectamente el lenguaje para tener éxito en las redes sociales. Las personas que usan Twitter esperan interactuar con extraños y ver una sintaxis menos que pulida, dice. En Twitter, la cultura es muy permisiva y no es necesario tener un inglés o una gramática perfectos.

esconder