211service.com
Cette IA créera des tweets dont vous ne saurez jamais qu'ils sont du spam
Le mois dernier, certaines personnes tweetant à propos de Pokémon Go sont devenues des sujets involontaires dans une expérience qui pourrait présager un nouveau type d'attaque en ligne inquiétant.
Des chercheurs de l'industrie ont formé un logiciel d'apprentissage automatique pour écrire des tweets comme un humain pour répondre à certaines personnes en utilisant le hashtag #Pokemon, dans une démonstration de la façon dont les progrès des logiciels qui comprennent le langage pourraient être utilisés pour tromper les gens en ligne. Environ un tiers des personnes ciblées par le logiciel ont cliqué sur un lien bénin envoyé par le logiciel pour tester à quel point il était convaincant.
C'est bien plus que le taux de réussite de 5 à 10% typique des messages de phishing automatisés visant à inciter les gens à cliquer sur des liens pour livrer des logiciels malveillants ou voler des mots de passe, déclare John Seymour, scientifique principal des données chez une société de sécurité. ZéroFOX . Le système d'apprentissage automatique se rapproche du taux de réussite d'environ 40% des messages de harponnage fabriqués à la main pour tromper une personne spécifique, dit-il.
@davemillier J'ai été très satisfait de mon Microsoft Surface, ravi de vous voir là-bas, il est encore temps de vous inscrire ! https://t.co/sWGMuhNElG
– Mike Rice (@mikefrom_it) 4 août 2016
Le spearphishing est très manuel et prend des dizaines de minutes par cible, explique Seymour. Cette approche est presque aussi précise et automatisée, elle pourrait donc être utilisée à une échelle beaucoup plus grande. Les tweets n'ont pas tous l'air très soignés, mais ils sont efficaces, dit-il. Certaines personnes ont répondu en disant que le lien était rompu et en demandant qu'il soit renvoyé.
Seymour a présenté jeudi les résultats de ses expériences avec son collègue Phil Tully lors de la conférence sur la sécurité informatique Black Hat à Las Vegas. Le duo affirme que leur travail montre que la technologie d'apprentissage automatique pourrait permettre aux criminels d'augmenter considérablement leurs taux de réussite.
Le phishing et le spearphishing sont déjà des problèmes importants. Cisco a signalé l'année dernière que les messages de phishing envoyés via Facebook étaient la première cause d'accès non autorisé aux réseaux d'entreprise.
@coelhobruno redémarré le modem et cela m'affecte vraiment. J'ai envoyé d'autres messages avant et je n'ai reçu aucune aide. https://t.co/OtTqDkydKO
– Mike Rice (@mikefrom_it) 4 août 2016
Le logiciel des chercheurs de ZeroFOX, SNAP_R, peut fonctionner de deux manières. L'un utilise la même technique d'intelligence artificielle, l'apprentissage en profondeur, utilisée par des entreprises telles que Google pour créer des systèmes capables de comprendre et de traduire le langage. Il a été formé sur deux millions de messages Twitter, ce qui lui a permis de générer ses propres tweets réalistes.
Le deuxième mode du système est plus ciblé. Il apprend à tweeter en regardant les tweets les plus récents d'un individu et les intègre dans une technique plus ancienne appelée chaîne de Markov. Il peut alors générer des tweets similaires à ceux écrits par la cible, sur lesquels une personne pourrait cliquer en pensant qu'un message a été écrit par une personne ayant des intérêts similaires.
SNAP_R peut également identifier et cibler les personnes les plus influentes et les plus actives parlant de sujets spécifiques ou utilisant un hashtag spécifique. Il recherche des mots clés tels que PDG dans le profil d'une personne et des indicateurs tels que son nombre d'abonnés. ZeroFOX publie une version du logiciel pour aider les chercheurs à réfléchir au potentiel de ces types d'attaques et à la manière de s'en défendre.

Le logiciel ZeroFox a généré ces tweets pour essayer de tromper les gens sur Twitter.
Mike Murray, vice-président de la recherche sur la sécurité chez la société de sécurité mobile Lookout, appelle la perspective d'utiliser l'apprentissage automatique pour automatiser le processus de tromper les gens en ligne effrayant. Mais il pense qu'il faudra un certain temps avant que ce type d'approche ne soit utilisé pour organiser de véritables attaques.
Malgré les progrès récents, les meilleures techniques d'apprentissage automatique nécessitent encore une expertise spécialisée et sont loin d'être parfaites pour générer du langage. Google est un leader de l'apprentissage automatique et du langage. Mais son application Inbox capable de générer des réponses aux e-mails ne peut que suggérer des réponses courtes d'une phrase, explique Murray. Si Google ne peut pas générer plus d'une phrase, je ne peux probablement pas générer un très bon e-mail de phishing.
Tully de ZeroFOX ne prédit pas non plus l'utilisation criminelle généralisée du harponnage automatisé demain non plus. Mais il soutient que les algorithmes d'apprentissage automatique sont de plus en plus faciles à utiliser et qu'ils n'ont pas besoin de maîtriser parfaitement le langage pour réussir sur les réseaux sociaux. Les utilisateurs de Twitter s'attendent à interagir avec des étrangers et à voir une syntaxe moins que raffinée, dit-il. Sur Twitter, la culture est si permissive et vous n'avez pas besoin d'avoir un anglais ou une grammaire parfaits.