犯罪分子使用生成式AI工具發起商業郵件攻擊。

生成式AI用于BEC攻擊

隨著ChatGPT等人工智能技術的進步,為商業郵件泄露攻擊印日新的攻擊向量。ChatGPT是一個復雜的人工智能模型,可以根據用戶輸入生成類似人類的文本。目前也有犯罪分子利用ChatGPT類技術自從生成高度可信的偽造郵件給受害者,增加攻擊的成功性。

圖 發送BEC的黑客指南

近日,在某犯罪論壇出現了上圖所示的討論帖。其中展示了利用生成式人工智能技術應用于釣魚攻擊或BEC攻擊的可行性。帖子建議郵件使用受害者的本地語言、翻譯、然后再反饋給ChatGPT這樣的接口以增強其復雜性和形式化。該方法表明攻擊者即使不熟悉受害者的語言,也可以進行釣魚或BEC攻擊。

圖 黑客論壇

黑客論壇還有關于ChatGPT類接口越獄的討論,即通過精心偽造的輸入來操作ChatGPT類應用接口生成泄露敏感信息、不適當內容、有甚至有害的代碼的輸出。

圖 WormGPT

惡意攻擊者創建了類似ChatGPT的定制模塊,還進行廣告展示。人工智能時代惡意活動的復雜性和適應能力不斷增加,使得網絡安全變得越來越具有挑戰性。

WormGPT

WormGPT是一款基于GPTJ語言模型的人工智能模塊,具備很多的功能,包括無限制字符支持、代碼格式能力。

圖 WormGPT示例 

WormGPT稱在不同的數據源上進行了訓練,尤其是很多惡意軟件相關的數據。而訓練過程中使用的數據集仍然是未公開的。

圖 WormGPT數據源

研究人員利用WormGPT該工具進行實驗,生成了一封欺騙賬戶管理員支付欺詐賬單發票的郵件。

圖 WormGPT創建的BEC攻擊郵件

生成式人工智能技術應用于BEC攻擊的優勢

無語法錯誤:生成式人工智能技術生成的郵件一般沒有語法錯誤,看起來像是合法的,減少了被標記為垃圾郵件的可能性。

降低準入門檻:使用生成式人工智能技術降低了發起復雜BEC攻擊的準入門檻。即使攻擊者能力不足也可以使用生成式人工智能技術生成垃圾郵件,并發起攻擊。

人工智能 郵件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接