This post is also available in:
English (אנגלית)
מחקר חדש חשף נקודה עיוורת הולכת וגדלה של אבטחת סייבר: עובדים מתקשים לזהות פישינג – במיוחד אלה שנוצרו על ידי בינה מלאכותית. המחקר, שנערך על ידי דוג'ו, וסקר 2,000 עובדים בבריטניה ברמות שונות, מראה כי יותר ממחצית לא הצליחו לזהות הודעות הונאה בדואר האלקטרוני, למרות ביטחון גבוה ביכולתם לעשות זאת.
פישינג, טכניקה שבה תוקפים גורמים לאנשים ללחוץ על קישורים זדוניים או לשתף מידע רגיש, היא עדיין אחד מוקטורי התקיפה הנפוצים והיעילים ביותר. אבל בעוד שרבים מאמינים שהם יכולים לזהות בקלות דוא"ל מזויף, הנתונים מראים אחרת.
הבדיקה כללה הן הודעות דיוג מסורתיות והן הודעות דוא"ל שנוצרו על ידי בינה מלאכותית כדי לחקות התראות משירותים מוכרים כמו Google, Dropbox ו-Slack. למרות הדגלים האדומים הברורים – כמו ניסוח מוזר, כתובות URL מזויפות ולחץ לפעול במהירות – 56% מהמשתתפים לא יכלו להבדיל באופן מהימן בין אמיתי ומזויף.
מנהלים לא היו חסינים. בעוד שהם הפגינו ביצועי מעט טובים יותר מאשר הצוות הזוטר בזיהוי הודעות דוא"ל לגיטימיות, 66% מהמנהלים לא זיהו הונאות שנוצרו על ידי AI. אפילו בקרב פאונדרים – אולי המודעים ביותר לאבטחה – 73% נפלו בפח של ניסיונות פישינג שנכתבו עם בינה מלאכותית.
המחקר מדגיש כיצד כלים מתקדמים של בינה מלאכותית, כגון ChatGPT, משמשים ליצירת תוכן פישינג משכנע. הודעות דואר אלקטרוני אלה יכולות לעקוף אינדיקטורים מסורתיים של הונאה בכך שמשתמשים בדקדוק נקי, עיצוב מוכר ובקשות הגיוניות בהקשר כדי לגרום לנמענים לפעול.
הונאה יעילה במיוחד כללה הודעת דוא"ל מזויפת ממנכ"ל המבקש משימה דחופה – טכניקת התחזות מוכרת. בקרב עובדים חדשים, 68% חשבו בטעות שהודעת פישינג זו היא בקשה לגיטימית.
בעוד שהתקפות פישינג משפיעות כיום על עסקים רבים, ארגונים עדיין שמים אבטחת סייבר בעדיפות נמוכה. הפער הזה בין מודעות למוכנות מהווה סיכון רציני.
מומחים ממליצים על מספר אמצעי נגד: יישום פרוטוקולים חזקים לאימות מבוססי דומיין, ביצוע תרגילי פישינג סדירים בחברה, והשקיעה בהכשרה ייעודית עבור הצוות – במיוחד אלה בתפקידים בסיכון גבוה כמו פיננסים ואדמיניסטרציה.
עם בינה מלאכותית ההופכת את הפישינג למתוחכם יותר וקשה יותר לזיהוי, אבטחת הסייבר חייבת להתפתח כדי לעמוד בקצב, כי החולשה הגדולה ביותר היא לא רק טכנית – היא אנושית.
