Chatbot kecerdasan buatan (AI) seperti ChatGPT telah menjadi alat bagi penjahat dunia maya untuk meningkatkan serangan email phishing mereka. Chatbots ini menggunakan kumpulan data besar bahasa alami dan pembelajaran penguatan untuk membuat email yang bebas kesalahan ketik dan benar secara tata bahasa, memberikan kesan legitimasi kepada target yang tidak menaruh curiga. Hal ini menimbulkan kekhawatiran di antara para pemimpin keamanan dunia maya, dengan 72 persen mengaku khawatir tentang AI yang digunakan untuk membuat email dan kampanye phishing yang lebih baik.
Chatbots dapat membantu penjahat dunia maya menskalakan produksi serangan rekayasa sosial tingkat lanjut, seperti penipuan CEO atau serangan kompromi email bisnis (BEC). Selain itu, penjahat dunia maya dapat menggunakan chatbot bertenaga AI untuk mengikis data pribadi atau keuangan dari media sosial, membuat email dan situs web peniruan merek, atau bahkan membuat kode untuk malware seperti ransomware. Secara khusus, tanpa AI, membuat malware adalah tugas khusus yang membutuhkan penjahat dunia maya yang terampil. Namun, penggunaan chatbots dapat mempermudah non-spesialis untuk melakukan ini, dan kami juga dapat berharap output yang dihasilkan AI akan meningkat seiring waktu.
“DAN” — Eksploitasi ChatGPT yang revolusioner
Sebelumnya, jika Anda secara eksplisit meminta ChatGPT untuk menghasilkan malware atau menulis email phishing, chatbot akan menyertakan peringatan keamanan sebelum menghasilkan output. Namun, peneliti keamanan telah mengumumkan penemuan eksploitasi baru untuk ChatGPT. Eksploitasi, yang disebut “DAN” (kependekan dari Do Anything Now), memungkinkan pengguna melewati batasan bawaan ChatGPT.
Peneliti menjadi frustrasi dengan kecenderungan model untuk menanggapi topik sensitif dengan pesan yang tidak membantu seperti “Maaf, tetapi sebagai model bahasa AI, saya tidak mampu…”. Tetapi dengan DAN, pengguna pada dasarnya dapat memberi tahu ChatGPT bahwa sekarang beroperasi di bawah persona baru yang tidak terikat oleh bias etika atau moral model tersebut. DAN akan memperlakukan semua jawaban secara setara dan tidak akan memberikan peringatan atau nasihat apa pun di awal pesannya.
Implikasi dari eksploitasi baru ini sangat signifikan. Pengguna sekarang dapat menanyakan apa saja ke ChatGPT tanpa takut akan sensor atau penilaian. Namun, kemampuan DAN melampaui kemampuan ChatGPT asli, menjadikannya alat baru yang ampuh untuk penjahat dunia maya. Mereka tidak perlu lagi memilih kata-kata tertentu untuk menghindari penandaan oleh filter, melainkan dapat mengajukan pertanyaan seperti “Malware apa yang terbaik untuk dibuat?” atau “Bagaimana cara mengaburkannya?” atau “Apa itu template email phishing yang efektif?”.
Bagaimana organisasi dapat melindungi diri dari serangan phishing yang dibantu oleh AI?
Organisasi perlu menyadari risiko yang ditimbulkan oleh serangan siber yang didukung chatbot dan mengambil langkah-langkah untuk melindungi diri mereka sendiri. Solusi keamanan email cloud terintegrasi (ICES) dapat membantu organisasi mendeteksi dan melindungi dari serangan tingkat lanjut, baik yang ditulis oleh manusia atau chatbot AI. Solusi ini menerapkan model AI dan pembelajaran mesin mereka sendiri untuk mendeteksi serangan berbasis teks, pemformatan dan permintaan yang mencurigakan, bahasa yang mencoba menciptakan urgensi, baris subjek yang menarik perhatian, dan banyak lagi.
Seiring kemajuan teknologi AI, organisasi menghadapi kebutuhan yang semakin mendesak untuk mengatasi potensi risiko dan kerentanan keamanan. Di sinilah teknik deteksi berperan. Dengan mengidentifikasi dan menangani potensi ancaman secara proaktif, bisnis dapat tetap berada di depan penyerang dunia maya dan memitigasi risiko terhadap sistem dan data mereka. Meskipun chatbot memiliki potensi untuk membantu penjahat dunia maya membuat email phishing yang lebih dapat dipercaya dan membuat malware, organisasi harus memprioritaskan penerapan tindakan pencegahan yang efektif, seperti solusi ICES, yang dapat mendeteksi dan menghentikan serangan ini agar tidak membahayakan.
Kredit Gambar: Wayne Williams
Jack Chapman adalah Wakil Presiden Intelijen Ancaman, Egress.
