هوش مصنوعی متا راحت گول می‌خورد

دستیابی هکرهای ایرانی به حساب‌های اینستاگرام با فریب چت‌بات

6 تیر, 1405
06:20

سمیه مهدوی پیام

هکرها به سراغ همان چت‌بات‌های دوستانه و خوش‌برخوردی رفته‌اند که تقریباً همه‌جا در نقش پشتیبانی مشتری استفاده می‌شوند. از قضا هفته نخست ماه ژوئن، این موضوع را به‌خوبی نشان داد.

بنیاد دفاع از دموکراسی‌ها (FDD) Foundation for Defense of Democracies، در گزارشی مدعی شد: مهاجمان با استفاده از پرسش‌هایی‌ ساده، از چت‌بات پشتیبانی هوش مصنوعی متا، سوءاستفاده و آن را متقاعد کردند کنترل حساب‌های پرنفوذ را به آنها بدهد. سپس از این حساب‌ها برای انتشار محتوای حامی ایران استفاده کردند.

با وجود ادعای متا مبنی بر مرتفع کردن این مشکل، اما کاربران همچنان گزارش‌هایی درباره تلاش برای هک شدن ارائه می‌کنند.

اجازه دادن به چت‌بات‌های هوش مصنوعی برای ایجاد تغییر در داده‌های حساس حساب‌ها، مانند رمز عبور یا ایمیل‌های مرتبط، یک مسیر آسان برای مهاجمان ایجاد می‌کند.

ظاهرا در این مورد، نه تنها هیچ ترفند پیچیده‌ای به کار نرفته بود، بلکه مهاجمان بارها از چت‌بات درخواست کردند اطلاعات حساب را تغییر دهد و در نهایت، چت‌بات موافقت کرد.

این، یکی از نخستین نمونه‌های گسترده و موفق هدف قرار دادن حساب‌ها با استفاده از چت‌بات‌های هوش مصنوعی است، اما آخرین نمونه نخواهد بود.

هکرها اغلب اهداف پرنفوذ را انتخاب می‌کنند

حساب‌های پرنفوذ معمولاً اهداف جذابی برای گروه‌هایی هستند که قصد دارند عملیات نفوذ، جمع‌آوری اطلاعات یا تضعیف اعتماد عمومی را انجام دهند. اگرچه پست‌های غیرعادی منتشره از حساب‌های هک‌شده در این مورد، به‌راحتی قابل تشخیص بودند، اما مهاجمان می‌توانند از روش‌های مشابه برای دسترسی به حساب‌ها و انتشار پیام‌هایی ظریف و در عین حال، مخرب استفاده کنند؛ پیام‌هایی که با هدف تأثیرگذاری بر افکار عمومی یا تضعیف ارتباطات مورد اعتماد رهبران منتشر می‌شوند.

برای مثال مهاجمان به حساب رسمی اینستاگرام کاخ سفید در دوران ریاست‌جمهوری اوباما دسترسی یافتند و محتوای حامی ایران منتشر کردند. از جمله اینکه بخش معرفی حساب را به زبان عربی، به این جمله تغییر دادند: «کاخ سفید تحت‌کنترل شیعیان است.»

آنها همچنین با دسترسی به حساب رئیس ارشد گروهبان نیروی فضایی آمریکا، محتوایی شامل فایل‌های صوتی مربوط به جنگ ویتنام منتشر کردند که هدف آن، تضعیف روحیه نیروهای آمریکایی بود. در توضیح این فایل‌ها، ادعاهایی مطرح شد مبنی بر اینکه نیروهای آمریکایی خاورمیانه با همان سرنوشتی روبه‌رو می‌شوند که سربازان کشته‌شده آمریکایی در ویتنام داشتند.

چت‌بات‌های پشتیبانی اهداف آسانی هستند

متا و دیگر شرکت‌ها، به‌طور فزاینده‌ای از چت‌بات‌های هوش مصنوعی برای ارائه خدمات پشتیبانی و مدیریت حساب‌ها استفاده می‌کنند تا فرایندهای قدیمی و کند بازیابی حساب را سریع‌تر کرده و هزینه‌ها را کاهش دهند.

بااین‌حال، ابزارهایی که به کاربران هنگام فراموشی رمز عبور کمک می‌کنند، به اهداف جذابی برای مهاجمان تبدیل شده‌اند، زیرا این ابزارها معمولاً دروازه اصلی ورود به تنظیمات حساب و کنترل‌های امنیتی هستند.

اگرچه پیشتر دستورالعمل‌هایی درباره نحوه دستکاری چت‌بات متا در فضای آنلاین منتشر شده بود.

این روش، شامل شناسایی حساب هدف، استفاده از یک VPN برای شبیه‌سازی موقعیت جغرافیایی قربانی، آغاز فرایند بازیابی رمز عبور و متقاعد کردن دستیار پشتیبانی هوش مصنوعی متا برای اتصال حساب به یک ایمیل جدید بود.

اما هکرها بدون اینکه هرگز رمز عبور قربانی یا اطلاعات امن حساب را در اختیار داشته باشند، حساب‌ها را کنترل می‌کردند.

برای پیشگیری چه باید کرد؟

اما برای جلوگیری از قربانی شدن حساب‌ها در حملاتی که از طریق چت‌بات‌ها انجام می‌شود، کاربران باید احراز هویت چندمرحله‌ای (MFA) را فعال کنند.

بسیاری از پلتفرم‌ها با وجود توصیه‌های سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، همچنان این قابلیت را به‌صورت پیش‌فرض، اجباری نمی‌کنند.

مطالعات نشان می‌دهند احراز هویت چندمرحله‌ای، مانع و چالش بیشتری برای مهاجمان ایجاد می‌کند.

هکرهایی که توانسته بودند کنترل حساب‌های متا را به دست آورند، نتوانستند وارد حساب‌هایی شوند که MFA در آنها فعال بود. لذا پلتفرم‌ها باید MFA را به‌صورت پیش‌فرض فعال و به‌طور منظم کاربران را به روشن کردن این تنظیمات تشویق کنند.

همچنین مسئولیت بیشتری برعهده شرکت‌هاست. آنها باید خطرات مرتبط با خدمات خود را از قبل پیش‌بینی کنند. سیستم‌های هوش مصنوعی باید فقط به حداقل اطلاعات موردنیاز برای عملکرد خود دسترسی داشته باشند و نباید بدون اینکه کاربر قبلاً وارد حساب شده باشد، امکان تغییر داده‌های حساس حساب یا اطلاعات پشت‌صحنه سیستم را کسب کنند.

پلتفرم‌ها باید برای تأیید هویت، علاوه بر موقعیت جغرافیایی، از منابع مختلفی مانند داده‌های اختصاصی دستگاه و رفتارهای قبلی کاربر استفاده کنند و فعالیت‌های غیرعادی را علامت‌گذاری کنند.

همچنین زمانی که رفتار مشکوکی شناسایی می‌شود، سیستم‌ها باید تعامل را به کارکنان انسانی آموزش‌دیده منتقل کنند تا بررسی شود.

نظارت انسانی ممکن است روش‌های فریب مهاجمان را که سیستم‌های خودکار قادر به تشخیص آن نیستند، شناسایی کند.

همان‌طور که متا با اصلاح نقص امنیتی موجود این کار را انجام داد، شرکت‌ها نیز باید برای کاهش سریع آسیب‌پذیری‌های کشف‌شده اقدام کنند.

بدون وجود این تدابیر حفاظتی، بازیگران دولتی و غیردولتی همچنان به سوءاستفاده از چت‌بات‌ها ادامه می‌دهند و ابزارهایی را که برای افزایش بهره‌وری طراحی شده‌اند، به مسیرهایی برای عملیات نفوذ و نگرانی‌های گسترده‌تر امنیتی تبدیل می‌کنند.