Как киберпреступники применяют ИИ в 2024 году

Во всем мире число киберпреступлений с использованием искусственного интеллекта (ИИ), по данным Fortinet, в 2023 году выросло более чем на 30% в зависимости от региона. МВД России осенью сообщало, что с начала 2024 года ущерб от киберпреступлений в целом уже составляет 116 млрд руб., а Сбербанк прогнозирует потери граждан от действий кибермошенников к концу года приблизительно в 300 млрд руб. Специалисты по кибербезопасности видят применение ИИ хакерами драйвером роста угрозы, но считают, что пока технология освоена недостаточно.

Опасная иллюзия

Сегодня с помощью ИИ несложно создать практически любой контент такого качества, что со стороны невозможно отличить, где реальность, а где — созданная машиной подделка, дипфейк. Технологию уже взяли на вооружение киберпреступники, и с появлением этого современного инструмента существенно выросли угрозы безопасности в отношении граждан и бизнеса во всем мире. Так, злоумышленники все чаще генерируют изображения известных людей, чтобы манипулировать общественным мнением. «Есть видео, которое рекламирует некий стоматологический план с ИИ-версией меня. Я не имею к этому никакого отношения» — такой пост написал осенью прошлого года актер Том Хэнкс в своих соцсетях, обращаясь к десятимиллионной аудитории. По его словам, при создании рекламы клиники злоумышленники использовали его образ, созданный с помощью ИИ.

Эксперты считают, что генеративный ИИ может стать драйвером роста киберпреступлений в ближайшее время. По словам технического директора «Яков и партнеры Digital» Якова Чемашкина, развитие ИИ для упрощения кибератак представляет значительный риск, и с развитием технологии применение ИИ киберпреступниками будет расти. «Сейчас это носит ограниченный характер, так как технология пока не идеальна и требует особых навыков и инфраструктуры, но со временем может стать массовым»,— говорит он.

Наибольшему риску сложных кибератак подвержены сферы, где есть деньги, конфиденциальные данные и критическая инфраструктура, которую можно разрушить: это финансовый сектор, телеком, энергетика, промышленность, государственные и медицинские учреждения. Одной из наиболее распространенных схем мошенничества сейчас является фишинг, при котором рассылаются убедительные сообщения, и сайты, созданные в том числе с использованием ИИ и предназначенные для кражи учетных данных или средств пользователей.

К широко применяемым схемам кибератак с ИИ Яков Чемашкин относит и использование программ-шифровальщиков, которые шифруют данные на устройствах жертв и требуют выкуп за их восстановление. Атаки типа «отказ в обслуживании» (DDoS) также представляют серьезную угрозу: сети ботов, управляемые человеком или ИИ, перегружают серверы, делая сервисы недоступными для пользователей. Также распространено заражение устройств частных лиц и компаний с последующей кражей как личной информации, так и активов. Для получения конфиденциальной информации часто используются методы социальной инженерии, которая позволяет проводить персонализированные атаки.

«Хотя сегодня киберпреступники и стремятся автоматизировать и модифицировать кибератаки с помощью ИИ, значительного влияния на сценарии действий атакующих технология пока не оказывает»,— говорит аналитик исследовательской группы Positive Technologies Роман Резников. В 2023 и 2024 годах киберпреступники активно применяли социальную инженерию (в 56% атак) и эксплуатировали уязвимости (в 30% атак) для получения первоначального доступа к инфраструктуре жертвы, в каждой второй атаке злоумышленники применяли различные типы вредоносного программного обеспечения, с помощью которого похищали конфиденциальные данные или нарушали внутренние бизнес-процессы компании. Чаще всего преступники стремились получить данные жертв: учетные, персональные или платежные. Треть атак (36%) на частных лиц заканчивалась похищением денег, оценили в Positive Technologies.

Прицельный удар

Целью злоумышленников, осваивающих ИИ для совершения атак, не всегда являются деньги или персональные данные. Об этом, по мнению директора по развитию бизнеса в «К2 Кибербезопасность» Андрея Заикина, говорят многочисленные кибератаки на госсектор. «Большое количество атак не являются целевыми, а проводятся сразу по огромному количеству компаний с использованием автоматизированных средств, в частности с ИИ, для которого нет разницы, к каким последствиям могут привести его действия»,— добавляет он. При этом, с одной стороны, ИИ сокращает затраты времени и других ресурсов злоумышленника на атаку, а также делает ее сложнее для отражения, говорит эксперт: «Но все-таки важнее не тип атаки, а ее цели: это могут быть коммерческие секреты и другие критичные данные, которые не должны попасть третьим лицам или они трудновосстановимы».

Впрочем, не стоит считать, что компании представляют для кибермошенников неподвижную цель, рассуждает господин Заикин. В последние пару лет компании стали подходить к своей безопасности более осознанно: «По нашим опросам, почти половине компаний (43%) из числа среднего и крупного бизнеса уже недостаточно установки разрозненных средств защиты. Они используют или планируют внедрить более комплексный подход к мониторингу и обеспечению кибербезопасности активов — собственные и коммерческие центры реагирования. Они базируются на трех необходимых компонентах: технологиях, команде экспертов и налаженных процессах. Именно такой подход позволяет эффективно реагировать на сложные и новые угрозы, включая ИИ».

Если говорить о конкретных видах атак (взлом паролей и любые виды фишинга), то основные рекомендации, по словам эксперта К2Тех, могут быть такими: выбирать надежные и неочевидные пароли, использовать двухфакторную аутентификацию и менеджеры паролей, регулярно делать резервные копии данных и обновлять средства защиты, не открывать ссылки и вложения, если источник письма или сообщения вызывает сомнение, при запросе критической информации, например от коллеги, на всякий случай уточнить у человека лично.

Важным инструментом, который используется в борьбе с киберпреступниками, остается и госполитика. Сегодня регуляторы и госорганы усиливают кибербезопасность, обновляя законы и ужесточая наказания за киберпреступления. Например, осенью в Госдуму внесли законопроект, который предлагает признать использование дипфейков отягчающим обстоятельством при мошенничестве и клевете. За мошенничество с использованием таких инструментов ИИ предлагается наказывать штрафом до 400 тыс. руб. или лишением свободы на срок до шести лет (см. “Ъ” от 16 сентября).

Приемы против лома

ИИ способен не только создавать контент, но и оценивать его с точки зрения аутентичности. Поэтому он становится также инструментом противодействия преступникам. При любой атаке время — один из важнейших факторов успешного ее отражения. ИИ может взять часть задач на себя и быстрее собрать необходимую информацию об инциденте, продолжает Андрей Заикин. Например, ИИ как языковая модель может вычитывать ИБ-события и связывать их в одну цепочку. Это позволит аналитикам получать не просто оповещение, а сразу описание следующих шагов реагирования и выявления всех возможных путей распространения угрозы. Человеку останется проанализировать ситуацию и принять решение.

К числу инструментов для противодействия преступникам Андрей Заикин относит Threat hunting, при котором с помощью ИИ можно выбирать индикаторы для поиска угроз из различных источников, помогать в формировании гипотезы и т. д. Не стоит забывать и о UEBA (User and Entity Behavior Analytics) — технологии выявления киберугроз, основанной на ИИ-анализе поведения пользователей, а также устройств и приложений. Они помогают выделить необычную активность и оповестить о ней специалиста.

Тем не менее с точки зрения борьбы с утечками данных РФ есть куда расти, поскольку страна сегодня является «мировым лидером» по количеству украденных и опубликованных баз данных компаний, говорят в Positive Technologies. По данным компании, доля российских объявлений на теневых форумах составляет примерно 10%. В пятерку лидеров вошли США (8%), Индия (7%), Китай (6%) и Индонезия (4%). Утекшие базы содержат персональные данные клиентов компаний, а также коммерческую тайну. Большинство опубликованных в текущем году баз содержат актуальную информацию: ФИО сотрудников, адреса проживания, пароли, даты рождения, паспортные данные и т. д.

Эти данные, утверждает Яков Чемашкин, используются для социальной инженерии, особенно в области телефонного мошенничества: «Базы быстро попадают к злоумышленникам и объединяются с уже известными ранее, это делает потенциальную жертву уязвимой».

Поскольку в этой ситуации нельзя допускать новых утечек, наказание за утечки должно быть существенным, считает он: «Сейчас инвестиции в информационную безопасность обходятся дороже потенциальных штрафов, а должно быть наоборот. При этом важно, чтобы регуляторы помогли компаниям достичь достаточного уровня безопасности в условиях стремительно растущей цифровой экономики. Для крупных компаний это может быть один пакет мер, а для малого и среднего бизнеса — другой, например бесплатный "ИБ под ключ" при соблюдении определенных критериев».

По оценкам экспертов, медлить с вводом мер противодействия киберпреступникам — как технологических, так и регуляторных — значит давать им фору, поскольку на ослабление хакерских атак рассчитывать не стоит. «В следующем году кибератак с применением ИИ неизбежно станет больше»,— прогнозирует Роман Резников. Уже сейчас необходимо готовиться к развитию арсенала киберпреступников. Защита должна успеть автоматизироваться до того, как злоумышленники смогут массово автоматизировать свои атаки.

Константин Анохин