來自Abnormal Security的一份AI支持的世界報告中的電子郵件安全狀況顯示,安全領導者高度關注GenAI制造更復雜電子郵件攻擊的潛力,許多人要么已經遭受了AI生成的電子郵件攻擊,要么強烈懷疑這種情況。

IBM X-Force的研究表明,這些擔憂是有道理的。只需五個簡單的提示,IBM X-Force研究團隊就能在短短五分鐘內誘騙一個AI模型開發出幾乎與熟練人類所創建的電子郵件一樣“極具說服力”的釣魚電子郵件,這可能為攻擊者節省了近兩天的工作。

這項研究發布之際,隨著商業用例的增加,GenAI的快速增長和采用對網絡安全的影響繼續成為頭條新聞。

網絡安全利益相關者擔心GenAI隱含的風險

在Abnormal Security調查的300名高級網絡安全利益相關者中,幾乎所有人(98%)都擔心ChatGPT、Google Bard、WormGPT和類似的GenAI工具帶來的網絡安全風險。根據這份報告,他們主要擔心的是GenAI使電子郵件攻擊變得更加復雜——特別是它可以幫助攻擊者根據公開可獲得的信息策劃高度特定和個性化的電子郵件攻擊。

然而,研究發現,盡管存在廣泛的擔憂,但絕大多數安全領導人沒有做好充分準備,以防范AI生成的電子郵件攻擊。大多數受訪者仍然依賴他們的云電子郵件提供商或傳統工具來實現電子郵件安全,超過一半(53%)的受訪者仍在使用安全電子郵件網關來保護他們的電子郵件環境。這種方法似乎沒有奏效,因為近一半的受訪者(46%)對檢測和阻止AI生成的攻擊的傳統解決方案缺乏信心。

AI生成的釣魚電子郵件“相當有說服力”

IBM X-Force的發現很可能會促使許多安全領導者改變他們的電子郵件安全策略,以應對GenAI制作復雜網絡釣魚消息的能力。該團隊的目標是通過比較AI生成的電子郵件和人工生成的電子郵件在針對組織的模擬中的點擊率,來確定當前的GenAI模型是否具有與人類思維相同的欺騙能力。

IBM首席人員黑客斯蒂芬妮·卡拉瑟斯寫道,通過一個系統的試驗和改進過程,只創建了一個只有5個提示的集合,以指示ChatGPT生成針對特定行業定制的釣魚電子郵件。“一開始,我們要求ChatGPT詳細說明這些行業員工關注的主要領域。在將行業和員工的擔憂列為首要關注點后,我們促使ChatGPT在電子郵件中同時使用社交工程和營銷技巧做出戰略選擇。”

卡拉瑟斯說,這些選擇旨在優化更多員工點擊電子郵件本身中的鏈接的可能性。接下來,提示詢問ChatGPT發送者應該是誰(例如,公司內部、供應商或外部組織的某個人)。最后,該團隊要求ChatGPT添加以下完成內容來創建釣魚電子郵件:

1.醫療行業員工最關注的領域:職業發展、工作穩定性、工作成就感。

2.應使用的社會工程技術:信任、權威、社會證明。

3.應該使用的營銷技巧:個性化、移動優化、行動號召。

4.其應冒充的人員或公司:內部人力資源經理。

5.電子郵件生成:根據上面列出的所有信息,ChatGPT生成了以下經過編輯的電子郵件,隨后發送給800多名員工。

“我有近十年的社交工程經驗,精心制作了數百封釣魚郵件,我甚至發現AI生成的釣魚郵件相當有說服力。”卡拉瑟斯寫道。

人工生成的網絡釣魚稍微成功一些

在IBM X-Force實驗的第二部分,經驗豐富的社交工程師創建了在個人層面上與他們的目標產生共鳴的釣魚電子郵件。他們采用了獲得開源情報(OSINT)的初始階段,然后精心構建自己的釣魚電子郵件,以和GenAI創建的電子郵件進行對比。

在一輪緊張的A/B測試之后,結果很明顯:人類獲勝了,但以最小的優勢獲勝。根據IBM X-Force的數據,GenAI網絡釣魚點擊率為11%,而人類網絡釣魚點擊率為14%。AI生成的電子郵件也被報告為可疑,與人類生成的郵件相比,可疑郵件的比例分別為59%和52%。

卡拉瑟斯寫道:“人類可能以微弱優勢贏得了這場比賽,但AI正在不斷進步。”隨著技術的進步,AI將變得更加復雜,甚至有一天可能會超過人類。

網絡安全 網絡釣魚
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接