Технологии глубоких подделок (дипфейков) и генеративный искусственный интеллект кардинально изменили ландшафт киберугроз, превратив социальную инженерию в высокоэффективный и масштабируемый бизнес. В новом эпизоде подкаста на канале a16z (Andreessen Horowitz) обсуждается, как злоумышленники используют ИИ для атак на сотрудников компаний и обычных пользователей, и почему старые методы корпоративной безопасности и обучения больше не работают.
⚠️ Новая реальность киберугроз 0:05
Несмотря на технологический прогресс, человеческий фактор остается самым уязвимым звеном: по мнению экспертов, около 90% атак по-прежнему осуществляются через манипуляцию людьми.
- Рост атак: С момента появления ChatGPT чуть более двух лет назад количество атак с использованием социальной инженерии увеличилось более чем в 4 раза.
- Масштабируемость: Новые ИИ-модели, включая опенсорсные решения вроде DeepSeek, позволяют злоумышленникам автоматизировать атаки, делая их невероятно дешевыми и доступными даже для одиночек со смартфоном.
- Смена векторов: Если раньше киберпреступникам было экономически невыгодно атаковать каждого пользователя, то теперь, благодаря ИИ, они могут совершать массовые «брутфорс»-атаки по голосовым каналам, SMS, видео или в чатах.
🎙️ Опасность «голосовых похищений» 3:52
Одной из самых пугающих тенденций спикеры называют виртуальные похищения, где с помощью клонирования голоса злоумышленники имитируют близких родственников и требуют выкуп.
Чтобы минимизировать риски, эксперты дают следующие практические рекомендации:
- Удалите голосовое приветствие: Прямо сейчас зайдите в настройки голосовой почты и удалите стандартное приветствие, записанное вашим голосом — это готовый образец для ИИ-клонирования.
- Ограничьте информацию в звонках: При ответе на звонки с незнакомых номеров не подтверждайте свою личность и старайтесь говорить как можно меньше, чтобы не дать злоумышленникам записать ваш голос.
🏢 Уязвимость корпоративного сектора 6:27
Корпорации являются главной целью из-за прямого доступа к финансовым ресурсам. Спикеры отмечают, что даже умные и осторожные сотрудники поддаются на атаки, когда те умело используют фактор авторитета.
- Неэффективность обучения: Традиционные корпоративные тренинги по безопасности, проводимые раз в год, спикеры называют «проверкой галочки». Сотрудники воспринимают их как скучную повинность, а не как реальный навык.
- Скрытые угрозы: Распространенной проблемой стали «подставные» специалисты — иностранные агенты, которые проходят собеседования, получают доступ к внутренним системам компании, крадут секретный код или данные и исчезают.
🛡️ Путь к защите: персонализация и ИИ 17:48
Чтобы противостоять угрозам, эксперты предлагают пересмотреть подход к обучению:
- Персонализация: Тренинги должны быть актуальными и даже «шокирующими», чтобы сотрудник на личном опыте увидел, как именно его могут обмануть.
- Симуляция атак: Компании должны использовать ИИ для создания реалистичных сценариев атак, чтобы проверить, где именно организация наиболее уязвима.
- ИИ против ИИ: Как и в любой «гонке вооружений», эксперты верят в использование ИИ-агентов для защиты. В будущем появятся системы, которые будут работать как «постоянные консультанты», предупреждающие сотрудников об опасности в режиме реального времени.
По прогнозам участников дискуссии, в ближайшие пару лет мир столкнется с крупномасштабными атаками на критическую инфраструктуру (больницы, энергетические системы), которые могут привести к реальной угрозе жизням людей, что делает вопрос безопасности не просто финансовым, а экзистенциальным.
