Generatiivinen tekoäly tekee tietojenkalastelusta yhä tehokkaampaa. 9Jopa 98-99 prosenttia phishing-viesteistä tulee sähköpostitse, sanoo Check Pointin tietoturva-asiantuntija Jarno Ahlström. Tämä tarkoittaa, ettei meiliboksissaan kannattaisi oikeastaan klikata mitään tuntematonta.
- Sähköpostin osuus puhtaan phishingin välityskanavana on tällä hetkellä tuota luokkaa. Jos katsotaan phishingiä hyökkäysten näkökulmasta, niin useat tutkimukset sanovat, että yli 90 prosenttia kaikista kyberhyökkäyksistä alkaa kalasteluviestillä, Ahlström muistuttaa.
Tietojenkalastelussa generatiivinen tekoäly ja suuret LLM-kielimallit ovat oikeastaan mullistaneet markkinan. Usein rikolliset käyttävät avoimia malleja. Tiedetään tapauksista, joissa Metan Llama-variantteja on käytetty rikollisten toimesta, mutta Ahlström ei halua nostaa mitään yksittäistä mallia tikun nokkaan.
- Maksuttomuus tai hyvin halpa hinta ovat tietysti aina houkuttelevampia kuin yritetään maksimoida tuottoja. Mutta ihan yhtä lailla tässä voidaan hyödyntää suljettuja malleja. Niihin rakennettuja suojausmekanismeja on mahdollista kiertää. Tarkoitushan on, että näitä ei käyttäjäkään erottaisi täysin normaalista ja asianmukaisesta viestinnästä.
Avoin LLM-malli sopii kalasteluviestin paikallistamiseen aivan mainiosti. - Jos phishing-viesti ajatellaan ihan vain viestinä, ei mallia tarvitse edes sen kummemmin kräkätä lokalisointia ajatellen. Yksittäisten lauseiden kääntäminen on varsin helppoa ja hankala erottaa asiallisesta viestinnästä.
Ahlström kertoo kuvaavan esimerkin. Hän pyysi englanniksi ChatGPT:n tuoreinta versiota muotoilemaan suomenkielisen sähköpostin, jossa kehotetaan kollegaa katsomaan nopeasti mukana seuraava PDF-tiedosto läpi. - ChatGPT loi nätisti otsikkoa myöden sopivan sähköpostin.
Tietojenkalastelun lisäksi tänä vuonna on nähty kasvava määrä QR-huijauksia, myös meillä Suomessa. Tampereen kaupungin liikennelaitoksen nimissä lähetettiin 25 tuhannelle uuden ratikan reitillä asuvalle kirje, johon painettua QR-koodia klikattiin 20 kertaa. Määrä ei tunnu suurelta, mutta verkkorikollisuus perustuukin valtavaan volyymiin.
Iso ongelma on se, että haavoittuvuuksia hyödynnetään yhä nopeammin. Viime vuonna kesti tilastojen mukaan 35 päivää, kun raportoituun haavoittuvuuteen oli olemassa sitä hyödyntävä haittaohjelma, nyt aikajänne on enää viisi päivää.
- Tämä kertoo siitä, että hyökkääjillä on uusia, tehokkaampia keinoja päästä käsiksi haavoittuvuuksiin ja toki automaatio on tässä suuressa osassa myös, Ahlström päättää.