AI網絡釣魚攻擊即將成為現實

近日，來自新加坡的研究人員開展了一項實驗，他們成功利用人工智能和相關API來制作令人信服的魚叉式網絡釣魚電子郵件，而無需人工干預，該實驗可驗證攻擊者未來可能采取的攻擊策略。

來自GTA（新加坡政府技術局）的研究人員設計了上述網絡釣魚流程管道，用自動化的人工智能服務取代了傳統的手動步驟，允許惡意攻擊者以更少的人力開發新的活動。然后，他們將手動創建的和人工智能創建的網絡釣魚電子郵件發送給志愿測試對象，以查看哪種更有效。

GTA的網絡安全副專家Eugene Lin在上周的Black Hat會議上表示：“對于參與這項研究的志愿者的測試顯示，人工智能管道在三分之二的測試中顯著優于手動工作流程。當我們添加個性化設置時，人工智能管道表現得更好，在第一次的個性化設置測試中達到了高達60%的點擊率。”

此外，研究人員發現人工智能管道測試中，測試對象點擊鏈接，甚至包括填寫表單字段方面都非常有效，轉化率高達 80%。

研究人員的調查顯示，現實生活中攻擊者可能會濫用各種人工智能工具。為了對志愿網絡釣魚目標進行測試，研究人員利用了Humantic AI，一項基于公開信息（如LinkedIn個人資料）為求職者提供個性和行為洞察力的服務。這使他們能夠執行網絡釣魚上下文生成，從而獲得有關如何接近目標的說明。

“我們將Humantic API輸出傳遞為純文本指令，描述目標以及如何接近它們。”Lin指出：“Humantic AI只是眾多銷售和招聘個性化API中的一個，作為一項對外開放的服務，任何人都可以立即注冊API，許多公司都可以獲得免費演示。因此，在現實情況下，這些公司都可以對其改編以使用我們的釣魚郵件管道。”

然而，目前的人工智能管道并不完美，仍然需要一些人工編輯。盡管如此，在人工智能管道生成的魚叉式網絡釣魚電子郵件中校訂這些問題，比網絡犯罪分子純手工制作要省事得多。

眾所周知，魚叉式網絡釣魚面臨問題在于，創建可信度極高的網絡釣魚電子郵件需要大量時間和創造力。研究人員還試圖使用GPT-3解決這個問題：

研究人員將OpenAI的GPT-3平臺與其他專注于個性分析的人工智能即服務產品結合使用，以生成適合潛在受害者工作背景和特征的網絡釣魚電子郵件。專注于人格分析的機器學習旨在根據行為輸入預測一個人的傾向和心態。通過多個服務運行輸出，研究人員能夠開發一個管道，在發送之前整理和完善電子郵件。研究人員表示，上述結果聽起來“非常人性化”，并且這些平臺自動提供了令人驚訝的細節，例如在指示為居住在新加坡的人生成內容時提到了新加坡法律。

雖然測試者對合成信息的質量以及對信息的點擊次數，與人工合成信息的點擊次數的對比結果令人印象深刻，但研究人員指出，該實驗只是第一步。樣本量相對較小，目標庫在就業和地理區域方面相當同質。此外，人工生成的消息和AI即服務管道生成的消息都是由辦公室內部人員創建的，而不是外部攻擊者。

一位安全業界專家指出，這種方法投入實際應用只是時間問題。攻擊者如果將其與語音和視頻合成（深度偽造）相結合，將會產生非常可怕的場景和后果。真正的風險不在于人工智能生成的網絡釣魚電子郵件與人工生成的一樣好，而是這種生成規模會更加龐大。

“人工智能管道通過節省人力和時間，加快了我們的運營速度，從而帶來了質的改進。”Lin還表示：“對于上下文和內容生成，集成AI有助于簡化和標準化操作。輸入和輸出不再取決于單個操作員的技能組合和傾向。”最后，Lin指出還可以將他們的基礎設施與其他現有工具（例如Gophish開源網絡釣魚框架）集成：“這突顯了人工智能即服務如何從開源語言模型中提高可訪問性。”

GTA的網絡安全副專家Timothy Lee 表示，提供人工智能即服務產品的公司必須作為第一道防線，制定使用條款和篩選指南，以阻止誤用和濫用。此外，他建議解決方案供應商確保對其產品的使用情況進行審核和跟蹤。與此同時，企業可能需要進一步加強反網絡釣魚培訓，并將其作為企業安全意識規劃的重要部分。