Diese KI erstellt Tweets, von denen Sie nie wissen werden, dass sie Spam sind

Letzten Monat wurden einige Leute, die über Pokémon Go twitterten, zu unwissenden Versuchspersonen in einem Experiment, das eine besorgniserregende neue Art von Online-Angriffen ankündigen könnte.





Industrieforscher trainierten maschinell lernende Software, um Tweets wie ein Mensch zu schreiben, um einigen Leuten mit dem Hashtag #Pokemon zu antworten, um zu demonstrieren, wie Fortschritte bei Software, die Sprache versteht, genutzt werden könnten, um Menschen online zu täuschen. Ungefähr ein Drittel der Personen, auf die die Software abzielte, klickten auf einen harmlosen Link, der von der Software gesendet wurde, um zu testen, wie überzeugend er war.

Das ist viel höher als die Erfolgsquote von 5 bis 10 Prozent, die typisch für automatisierte Phishing-Nachrichten ist, die darauf abzielen, Menschen dazu zu bringen, auf Links zu klicken, um Malware zu verbreiten oder Passwörter zu stehlen, sagt John Seymour, ein leitender Datenwissenschaftler bei einem Sicherheitsunternehmen ZeroFOX . Das maschinelle Lernsystem kommt der ungefähr 40-prozentigen Erfolgsquote von Spearphishing-Nachrichten nahe, die manuell erstellt wurden, um eine bestimmte Person auszutricksen, sagt er.

Spearphishing ist sehr manuell und dauert mehrere zehn Minuten pro Ziel, sagt Seymour. Dieser Ansatz ist fast genauso genau und automatisiert, sodass er in viel größerem Maßstab verwendet werden könnte. Die Tweets sehen nicht alle sehr ausgefeilt aus, aber sie sind effektiv, sagt er. Einige Leute antworteten, dass der Link defekt sei und baten darum, ihn erneut zu senden.

Seymour präsentierte die Ergebnisse seiner Experimente mit seinem Kollegen Phil Tully am Donnerstag auf der Computersicherheitskonferenz Black Hat in Las Vegas. Die beiden sagen, dass ihre Arbeit zeigt, dass maschinelle Lerntechnologie es Kriminellen ermöglichen könnte, ihre Erfolgsraten dramatisch zu steigern.

Phishing und Spearphishing sind bereits erhebliche Probleme. Cisco berichtete letztes Jahr, dass Phishing-Nachrichten, die über Facebook gesendet wurden, die häufigste Ursache für unbefugten Zugriff auf Unternehmensnetzwerke waren.



Die Software der ZeroFOX-Forscher, SNAP_R, kann auf zwei Arten arbeiten. Man verwendet die gleiche Technik der künstlichen Intelligenz, Deep Learning, die von Unternehmen wie Google verwendet wird, um Systeme zu entwickeln, die Sprache verstehen und übersetzen können. Es wurde mit zwei Millionen Twitter-Nachrichten trainiert, wodurch es selbst realistisch aussehende Tweets generieren konnte.

Der zweite Modus des Systems ist gezielter. Es lernt, wie man twittert, indem es sich die neuesten Tweets einer Person ansieht, und speist sie in eine ältere Technik namens Markov-Kette ein. Es kann dann Tweets generieren, die denen des Ziels ähneln, auf die eine Person klicken könnte, weil sie denkt, dass eine Nachricht von einer Person mit ähnlichen Interessen geschrieben wurde.



SNAP_R kann auch die einflussreichsten und aktivsten Personen identifizieren und ansprechen, die über bestimmte Themen sprechen oder einen bestimmten Hashtag verwenden. Es sucht nach Schlüsselwörtern wie CEO im Profil einer Person und Indikatoren wie der Anzahl ihrer Follower. ZeroFOX veröffentlicht eine Version der Software, um Forschern dabei zu helfen, über das Potenzial dieser Art von Angriffen nachzudenken und sich dagegen zu wehren.

Die ZeroFox-Software generierte diese Tweets, um zu versuchen, Leute auf Twitter auszutricksen.

Mike Murray, Vizepräsident für Sicherheitsforschung bei Lookout, einem Unternehmen für mobile Sicherheit, bezeichnet die Aussicht, maschinelles Lernen zu nutzen, um den Prozess der Online-Täuschung von Menschen zu automatisieren, als beängstigend. Aber er glaubt, dass es einige Zeit dauern wird, bis mit dieser Art von Ansatz echte Angriffe inszeniert werden.



Trotz der jüngsten Fortschritte erfordern die besten maschinellen Lerntechniken immer noch spezielles Fachwissen und sind bei weitem nicht perfekt bei der Generierung von Sprache. Google ist führend in den Bereichen maschinelles Lernen und Sprache. Aber seine Inbox-App, die Antworten auf E-Mails generieren kann, kann nur kurze Antworten mit einem Satz vorschlagen, sagt Murray. Wenn Google nicht mehr als einen Satz generieren kann, kann ich wahrscheinlich keine wirklich gute Phishing-E-Mail generieren.

Tully von ZeroFOX prognostiziert auch morgen keinen weit verbreiteten kriminellen Einsatz von automatisiertem Spearphishing. Er argumentiert jedoch, dass maschinelle Lernalgorithmen immer einfacher zu verwenden sind und die Sprache nicht perfekt beherrschen müssen, um in sozialen Medien erfolgreich zu sein. Leute, die Twitter nutzen, erwarten, mit Fremden zu interagieren und eine weniger als ausgefeilte Syntax zu sehen, sagt er. Auf Twitter ist die Kultur so freizügig und man muss kein perfektes Englisch oder Grammatik beherrschen.

verbergen