網路犯罪分子正在利用 ChatGPT 等人工智慧工具來製造更有說服力的網路釣魚攻擊,這引起了網路安全專家的警惕
已發表: 2023-12-02如果您注意到過去一年左右可疑電子郵件的數量激增,部分原因可能是我們最喜歡的人工智慧聊天機器人之一 - ChatGPT。 我知道 - 我們中的許多人透過 ChatGPT 進行過親密和私人的對話,我們透過 ChatGPT 了解了自己,我們不想相信 ChatGPT 會幫助欺騙我們。
據網路安全公司 SlashNext 稱,ChatGPT 及其人工智慧團隊正被用來加速發送網路釣魚電子郵件。 該報告以該公司的威脅專業知識為基礎,對北美三百多名網路安全專業人士進行了調查。 也就是說,據稱,自2022 年第四季以來,惡意網路釣魚電子郵件增加了1,265%,特別是憑證網路釣魚,增加了967%。憑證網路釣魚透過冒充使用者來攻擊您的個人資訊,例如使用者名稱、ID、密碼或個人密碼。透過電子郵件或類似的溝通管道向受信任的個人、團體或組織發送訊息。
惡意行為者正在使用生成式人工智慧工具(例如 ChatGPT)來編寫精心設計且有針對性的網路釣魚訊息。 除了網路釣魚之外,商業電子郵件洩漏 (BEC) 訊息是另一種常見的網路犯罪詐騙類型,旨在詐騙公司的財務。 該報告的結論是,這些由人工智慧驅動的威脅正在以驚人的速度增長,數量和複雜程度都在迅速增長。
報告指出,網路釣魚攻擊平均每天發生 31,000 起,大約一半的受訪網路安全專業人員表示他們收到了 BEC 攻擊。 談到網路釣魚時,77% 的專業人士表示他們曾收到網路釣魚攻擊。
專家權衡利弊
SlashNext 的執行長 Patrick Harr 表示,這些發現「加深了人們對使用生成式人工智慧導致網路釣魚指數級成長的擔憂」。 他詳細闡述了人工智慧生成技術使網路犯罪分子能夠加快發動攻擊的速度,同時也增加了攻擊的種類。 它們可以產生數千種具有數千種變體的社會工程攻擊 - 而您只需落入其中一種即可。
哈爾接著將矛頭指向了 ChatGPT,該公司在去年底出現了巨大的成長。 他認為,生成式人工智慧機器人使新手更容易進入網路釣魚和詐騙遊戲,並且現在已成為那些技術更熟練、經驗更豐富的人的武器庫中的額外工具- 他們現在可以擴大規模並更有針對性地進行攻擊容易。 這些工具可以幫助產生更有說服力、措辭更有說服力的訊息,詐騙者希望這些訊息能夠立即對人們進行網路釣魚。
Enterprise Management Associates 研究總監 Chris Steffen 在接受 CNBC 採訪時證實了這一點,他表示:「『尼日利亞王子』的時代已經一去不復返了」。 他接著補充道,現在的電子郵件「聽起來非常令人信服且合法」。 不良行為者會在語氣和風格上令人信服地模仿和冒充他人,甚至發送看似來自政府機構和金融服務提供者的官方信件。 他們可以比以前更好地做到這一點,透過使用人工智慧工具來分析個人或組織的著作和公共訊息,以自訂他們的訊息,使他們的電子郵件和通訊看起來像真實的東西。
更重要的是,有證據顯示這些策略已經為不良行為者帶來了回報。 Harr 提到了 FBI 的網路犯罪報告,報告稱 BEC 攻擊已給企業造成了約 27 億美元的損失,另外還有因其他類型的網路釣魚造成的 5,200 萬美元的損失。 母礦利潤豐厚,詐騙者更有動力加倍進行網路釣魚和 BEC 攻擊。
需要做什麼才能消除威脅
一些專家和科技巨頭予以反擊,亞馬遜、谷歌、Meta 和微軟承諾將進行測試以應對網路安全風險。 公司也在防禦性地利用人工智慧,用它來改進他們的偵測系統、過濾器等。 Harr 重申,SlashNext 的研究強調,這是完全合理的,因為網路犯罪分子已經在使用 ChatGPT 等工具來實施這些攻擊。
SlashNext 在 7 月發現了一個使用 ChatGPT 並伴隨 WormGPT 的特定 BEC。 Harr 表示,WormGPT 是一種網路犯罪工具,被宣傳為「GPT 模式的黑帽替代品,專為創建和發動 BEC 攻擊等惡意活動而設計」。 據報道,另一個惡意聊天機器人 FraudGPT 也在傳播。 Harr 表示,FraudGPT 被宣傳為專為詐欺者、駭客、垃圾郵件發送者和類似個人量身定制的「專屬」工具,擁有廣泛的功能。
SlashNext 的部分研究涉及人工智慧「越獄」的開發,這種攻擊是針對人工智慧聊天機器人設計的非常巧妙的攻擊,一旦進入,就會導致人工智慧聊天機器人的安全和合法性護欄被移除。 這也是許多人工智慧相關研究機構的主要研究領域。
企業和使用者應如何進行
如果您覺得這可能會對職業或個人造成嚴重威脅,那麼您是對的 - 但這並非完全沒有希望。 網路安全專家正在加緊集思廣益,尋找應對這些攻擊的方法。 許多公司採取的一項措施是持續對最終用戶進行教育和培訓,以了解員工和使用者是否真的被這些電子郵件所困擾。
可疑和有針對性的電子郵件數量的增加確實意味著到處提醒可能已經不夠了,公司現在必須非常堅持地練習在用戶中建立安全意識。 不僅應該提醒最終用戶,還應該鼓勵他們舉報看似欺詐的電子郵件並討論他們與安全相關的問題。 這不僅適用於公司和公司範圍內的安全,也適用於我們個人用戶。 如果科技巨頭希望我們信任他們的電子郵件服務來滿足我們的個人電子郵件需求,那麼他們將不得不繼續以這些方式建立防禦措施。
除了企業和公司文化層面的變化外,史蒂芬還重申了電子郵件過濾工具的重要性,該工具可以整合人工智慧功能,並有助於防止惡意訊息傳播給用戶。 這是一場持久戰,需要定期測試和審核,因為威脅總是在不斷發展,隨著人工智慧軟體能力的提高,利用它們的威脅也會隨之提高。
公司必須改進其安全系統,沒有任何單一解決方案可以完全解決人工智慧產生的電子郵件攻擊所帶來的所有危險。 史蒂芬提出,零信任策略可以幫助填補攻擊造成的控制空白,並幫助為大多數組織提供防禦。 個人用戶應該更加警惕被釣魚和欺騙的可能性,因為它已經上升了。
人們很容易對這些類型的問題感到悲觀,但我們可以對我們選擇點擊的內容更加警惕。 多花一點時間,然後再花一點時間,檢查所有資訊 - 您甚至可以搜尋您收到特定電子郵件的電子郵件地址,看看其他人是否遇到過與之相關的問題。 網路世界是一個棘手的鏡像世界,因此越來越值得保持警惕。