Znali smo da dolazi i sada je tu: spear phishing koji koristi vještačku inteligenciju sada nadmašuje čak i najvještije spear phishing napade koje kreiraju ljudi, a prava prekretnica dogodila se početkom 2025. godine. Ako uzmemo u obzir sposobnost AI-ja da djeluje znatno brže i obimnije, budućnost društvenog inženjeringa uz pomoć vještačke inteligencije izgleda prilično zabrinjavajuće.
Od 2023. godine, Hoxhunt sprovodi kontinuirane eksperimente u kojima su AI-generisani spear phishing napadi suprotstavljeni onima koje generišu iskusni red timovi. Rezultati su pokazali poboljšanje efikasnosti AI-ja za 55%. U 2023. godini, kada je eksperiment započet, AI je bio 31% manje efikasan od ljudi. Do marta 2025, bio je 24% efikasniji. (Efikasnost se mjeri brojem slučajeva u kojima spear phishing uspije da navede metu da „klikne”.)
Rezultati iz 2023. godine bili su slični rezultatima koje je dalo odvojeno istraživanje IBM-ovog X-Force Red tima, takođe iz 2023. godine. IBM-ovo istraživanje je pokazalo da je ljudski spear phishing imao stopu „klika” od 14%, naspram 11% za AI napad, potvrđujući da su tada ljudi ipak bili bolji napadači. Oba eksperimenta koristila su phishing mejlove generisane prompt inženjeringom pomoću ChatGPT-ja, jer je to tada bio jedini opšte dostupni način za korišćenje AI-ja.
Šefica ljudskog hakovanja u IBM-ovom X-Force Red timu, Snow Carruthers, sugerisala je da je glavni razlog zašto AI nije bio efikasan 2023. godine nedostatak emocionalne inteligencije. „Ljudi razumiju emocije na način na koji AI to može samo da sanja. Mi znamo kako da ispričamo priču koja dira u emocije i zvuči realističnije, zbog čega su ljudi skloniji da kliknu na maliciozni link.”
Ali je dodala: „Mislim da je moj najveći zaključak to da se zapitam kako će budućnost izgledati. Ako nastavimo da poboljšavamo generativni AI i učinimo ga da zvuči ljudskije, ovi phishing mejlovi bi mogli postati zaista razorni.”
Upravo to se i počelo dešavati 2024. godine sa pojavom agentne AI – sposobne da uči i adaptira se. Znajući da će i hakeri preći na agentni AI, Hoxhunt je razvio svog sopstvenog spear phishing agenta kako bi nastavio komparativnu analizu. Razvili su agenta pod nazivom JKR (skraćeno od „Joker”) – i performanse AI-generisanog spear phishinga su počele brzo da nadmašuju one koje kreiraju ljudi.
Tokom 2024. godine, eksperimenti kompanije Hoxhunt pokazali su da se jaz između AI i ljudskog spear phishinga sve više smanjuje. AI je prešao put od 31% manje efikasnosti u odnosu na ljudske napade do svega 10% manje efikasnosti.
Ali 2025. godina je donijela pravi šok. „Ubrzanje u efikasnosti AI spear phishing agenata tokom 3 mjeseca, od novembra 2024. do februara 2025, zaista je bilo zapanjujuće,” piše Piri Avist, suosnivač i CTO kompanije Hoxhunt. Ako pogledamo vremensku liniju razvoja: AI je bio 31% manje efikasan od ljudi 2023. godine, zatim samo 10% tokom 2024, a do marta 2025. postao je 24% efikasniji od ljudi.
„Ovo više nije teorija,” piše Avist. „Dokazali smo da AI agenti mogu da kreiraju superiorne spear phishing napade na velikom nivou. Uskoro će tržište phishing-as-a-service modela masovno preći na upotrebu AI spear phishing agenata. Kada se to desi, osnovni kvalitet i efikasnost masovnih phishing kampanja porašće do nivoa koji trenutno povezujemo sa ciljanim spear phishing napadima.”
Izvor: SecurityWeek
