Deze AI maakt tweets waarvan je nooit weet dat het spam is

Vorige maand werden sommige mensen die over Pokémon Go twitterden onwetende proefpersonen in een experiment dat een verontrustend nieuw soort online aanval zou kunnen voorspellen.





Industrieonderzoekers hebben machine learning-software getraind om tweets te schrijven als een mens om op sommige mensen te reageren met de hashtag #Pokemon, in een demonstratie van hoe vooruitgang in software die taal begrijpt, kan worden gebruikt om mensen online te misleiden. Ongeveer een derde van de mensen die het doelwit waren van de software klikte op een goedaardige link die door de software was meegestuurd om te testen hoe overtuigend deze was.

Dat is veel hoger dan het slagingspercentage van 5 tot 10 procent dat typisch is voor geautomatiseerde phishing-berichten die erop gericht zijn mensen te misleiden om op links te klikken om malware af te leveren of wachtwoorden te stelen, zegt John Seymour, senior datawetenschapper bij beveiligingsbedrijf. ZeroFOX . Het machine-learningsysteem komt dicht in de buurt van het succespercentage van ongeveer 40 procent van spearphishing-berichten die handgemaakt zijn om een ​​specifieke persoon te misleiden, zegt hij.

Spearphishing is zeer handmatig en duurt tientallen minuten per doelwit, zegt Seymour. Deze aanpak is bijna net zo nauwkeurig en is geautomatiseerd, dus het kan op veel grotere schaal worden gebruikt. De tweets zien er niet allemaal even gelikt uit, maar ze zijn wel effectief, zegt hij. Sommige mensen zeiden dat de link verbroken was en vroegen om het opnieuw te verzenden.

Seymour presenteerde donderdag de resultaten van zijn experimenten met collega Phil Tully op de Black Hat computerbeveiligingsconferentie in Las Vegas. Het paar zegt dat hun werk aantoont dat machine learning-technologie criminelen in staat zou kunnen stellen hun slagingspercentages drastisch te verhogen.

Phishing en spearphishing zijn nu al grote problemen. Cisco meldde vorig jaar dat via Facebook verzonden phishingberichten de belangrijkste oorzaak waren van ongeautoriseerde toegang tot bedrijfsnetwerken.



De software van de ZeroFOX-onderzoekers, SNAP_R, kan op twee manieren werken. Men gebruikt dezelfde kunstmatige-intelligentietechniek, deep learning, die bedrijven als Google gebruiken om systemen te maken die taal kunnen begrijpen en vertalen. Het is getraind op twee miljoen Twitter-berichten, waardoor het zijn eigen realistisch ogende tweets kan genereren.

De tweede modus van het systeem is meer gericht. Het leert hoe te tweeten door naar de meest recente tweets van een persoon te kijken en voert deze in een oudere techniek, een Markov-keten genaamd. Het kan vervolgens tweets genereren die vergelijkbaar zijn met die van het doelwit, waarop een persoon kan klikken omdat hij denkt dat een bericht is geschreven door een persoon met dezelfde interesses.



SNAP_R kan ook de meest invloedrijke en actieve mensen identificeren en targeten die over specifieke onderwerpen praten of een specifieke hashtag gebruiken. Het zoekt naar trefwoorden zoals CEO in iemands profiel en indicatoren zoals hun aantal volgers. ZeroFOX brengt een versie van de software uit om onderzoekers te helpen nadenken over het potentieel voor dit soort aanvallen en hoe ze zich ertegen kunnen verdedigen.

De ZeroFox-software heeft deze tweets gegenereerd om te proberen mensen op Twitter te misleiden.

Mike Murray, vice-president van beveiligingsonderzoek bij het mobiele beveiligingsbedrijf Lookout, noemt het vooruitzicht om machine learning te gebruiken om het proces van online misleiden van mensen te automatiseren eng. Maar hij denkt dat het nog wel even zal duren voordat met zo'n aanpak echte aanslagen kunnen worden gepleegd.



Ondanks recente vooruitgang, vereisen de beste technieken voor machinaal leren nog steeds gespecialiseerde expertise en zijn ze verre van perfect in het genereren van taal. Google is een leider op het gebied van machine learning en taal. Maar de Inbox-app die reacties op e-mails kan genereren, kan alleen korte antwoorden van één zin suggereren, zegt Murray. Als Google niet meer dan een zin kan genereren, kan ik waarschijnlijk geen echt goede phishing-e-mail genereren.

Tully van ZeroFOX voorspelt ook geen wijdverbreid crimineel gebruik van geautomatiseerde spearphishing morgen. Maar hij stelt dat algoritmen voor machine learning steeds gebruiksvriendelijker worden en de taal niet perfect hoeven te beheersen om succesvol te zijn op sociale media. Mensen die Twitter gebruiken, verwachten interactie met vreemden en zien een minder verfijnde syntaxis, zegt hij. Op Twitter is de cultuur zo tolerant en hoef je geen perfect Engels of grammatica te hebben.

zich verstoppen