网络犯罪分子正在利用 ChatGPT 等人工智能工具来制造更有说服力的网络钓鱼攻击,这引起了网络安全专家的警惕
已发表: 2023-12-02如果您注意到过去一年左右可疑电子邮件的数量激增,部分原因可能是我们最喜欢的人工智能聊天机器人之一 - ChatGPT。 我知道 - 我们中的很多人都通过 ChatGPT 进行过亲密和私人的对话,我们通过 ChatGPT 了解了自己,并且我们不想相信 ChatGPT 会帮助欺骗我们。
据网络安全公司 SlashNext 称,ChatGPT 及其人工智能团队正被用来加速发送网络钓鱼电子邮件。 该报告以该公司的威胁专业知识为基础,对北美三百多名网络安全专业人士进行了调查。 也就是说,据称,自 2022 年第四季度以来,恶意网络钓鱼电子邮件增加了 1,265%,特别是凭据网络钓鱼,增加了 967%。凭据网络钓鱼通过冒充用户来攻击您的个人信息,例如用户名、ID、密码或个人密码。通过电子邮件或类似的沟通渠道向受信任的个人、团体或组织发送信息。
恶意行为者正在使用生成式人工智能工具(例如 ChatGPT)来编写精心设计且有针对性的网络钓鱼消息。 除了网络钓鱼之外,商业电子邮件泄露 (BEC) 消息是另一种常见的网络犯罪诈骗类型,旨在诈骗公司的财务。 该报告的结论是,这些由人工智能驱动的威胁正在以惊人的速度增长,数量和复杂程度都在迅速增长。
该报告指出,网络钓鱼攻击平均每天发生 31,000 起,大约一半的受访网络安全专业人员表示他们收到了 BEC 攻击。 谈到网络钓鱼时,77% 的专业人士表示他们收到过网络钓鱼攻击。
专家们权衡利弊
SlashNext 的首席执行官帕特里克·哈尔 (Patrick Harr) 表示,这些发现“加深了人们对使用生成式人工智能导致网络钓鱼指数级增长的担忧”。 他详细阐述了人工智能生成技术使网络犯罪分子能够加快发起攻击的速度,同时也增加了攻击的种类。 它们可以产生数千种具有数千种变体的社会工程攻击 - 而您只需落入其中一种即可。
哈尔接着将矛头指向了 ChatGPT,该公司在去年底出现了巨大的增长。 他认为,生成式人工智能机器人使新手更容易进入网络钓鱼和诈骗游戏,并且现在已成为那些技术更熟练、经验更丰富的人的武器库中的额外工具 - 他们现在可以扩大规模并更有针对性地进行攻击容易地。 这些工具可以帮助生成更有说服力、措辞更有说服力的消息,诈骗者希望这些消息能够立即对人们进行网络钓鱼。
Enterprise Management Associates 研究总监 Chris Steffen 在接受 CNBC 采访时证实了这一点,他表示:“‘尼日利亚王子’的时代已经一去不复返了”。 他接着补充道,现在的电子邮件“听起来非常令人信服且合法”。 不良行为者会在语气和风格上令人信服地模仿和冒充他人,甚至发送看似来自政府机构和金融服务提供商的官方信件。 他们可以比以前更好地做到这一点,通过使用人工智能工具来分析个人或组织的著作和公共信息,以定制他们的消息,使他们的电子邮件和通信看起来像真实的东西。
更重要的是,有证据表明这些策略已经为不良行为者带来了回报。 Harr 提到了 FBI 的互联网犯罪报告,报告称 BEC 攻击已给企业造成了约 27 亿美元的损失,另外还有因其他类型的网络钓鱼造成的 5200 万美元的损失。 母矿利润丰厚,诈骗者更有动力加倍进行网络钓鱼和 BEC 攻击。
需要做什么才能消除威胁
一些专家和科技巨头予以反击,亚马逊、谷歌、Meta 和微软承诺将进行测试以应对网络安全风险。 公司也在防御性地利用人工智能,用它来改进他们的检测系统、过滤器等。 Harr 重申,SlashNext 的研究强调,这是完全有道理的,因为网络犯罪分子已经在使用 ChatGPT 等工具来实施这些攻击。
SlashNext 在 7 月份发现了一个使用 ChatGPT 并伴有 WormGPT 的特定 BEC。 Harr 表示,WormGPT 是一种网络犯罪工具,被宣传为“GPT 模型的黑帽替代品,专为创建和发起 BEC 攻击等恶意活动而设计”。 据报道,另一个恶意聊天机器人 FraudGPT 也在传播。 Harr 表示,FraudGPT 被宣传为专为欺诈者、黑客、垃圾邮件发送者和类似个人量身定制的“专属”工具,拥有广泛的功能。
SlashNext 的部分研究涉及人工智能“越狱”的开发,这种攻击是针对人工智能聊天机器人设计的非常巧妙的攻击,一旦进入,就会导致人工智能聊天机器人的安全和合法性护栏被移除。 这也是许多人工智能相关研究机构的主要研究领域。
企业和用户应如何进行
如果您觉得这可能会对职业或个人造成严重威胁,那么您是对的 - 但这并非完全没有希望。 网络安全专家正在加紧集思广益,寻找应对这些攻击的方法。 许多公司采取的一项措施是持续对最终用户进行教育和培训,以了解员工和用户是否真的被这些电子邮件所困扰。
可疑和有针对性的电子邮件数量的增加确实意味着到处提醒可能已经不够了,公司现在必须非常坚持地练习在用户中建立安全意识。 不仅应该提醒最终用户,还应该鼓励他们举报看似欺诈的电子邮件并讨论他们与安全相关的问题。 这不仅适用于公司和公司范围内的安全,也适用于我们个人用户。 如果科技巨头希望我们信任他们的电子邮件服务来满足我们的个人电子邮件需求,那么他们将不得不继续以这些方式构建防御措施。
除了企业和公司文化层面的变化外,史蒂芬还重申了电子邮件过滤工具的重要性,该工具可以整合人工智能功能,并有助于防止恶意消息传播给用户。 这是一场持久战,需要定期测试和审核,因为威胁总是在不断发展,并且随着人工智能软件能力的提高,利用它们的威胁也会随之提高。
公司必须改进其安全系统,没有任何单一解决方案可以完全解决人工智能生成的电子邮件攻击所带来的所有危险。 史蒂芬提出,零信任策略可以帮助填补攻击造成的控制空白,并帮助为大多数组织提供防御。 个人用户应该更加警惕被钓鱼和欺骗的可能性,因为它已经上升了。
人们很容易对这些类型的问题感到悲观,但我们可以对我们选择点击的内容更加警惕。 多花一点时间,然后再花一点时间,检查所有信息 - 您甚至可以搜索您收到特定电子邮件的电子邮件地址,看看其他人是否遇到过与之相关的问题。 网络世界是一个棘手的镜像世界,因此越来越值得保持警惕。