信息化觀察網(wǎng)

近日，來(lái)自新加坡的研究人員開(kāi)展了一項(xiàng)實(shí)驗(yàn)，他們成功利用人工智能和相關(guān)API來(lái)制作令人信服的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件，而無(wú)需人工干預(yù)，該實(shí)驗(yàn)可驗(yàn)證攻擊者未來(lái)可能采取的攻擊策略。

來(lái)自GTA（新加坡政府技術(shù)局）的研究人員設(shè)計(jì)了上述網(wǎng)絡(luò)釣魚(yú)流程管道，用自動(dòng)化的人工智能服務(wù)取代了傳統(tǒng)的手動(dòng)步驟，允許惡意攻擊者以更少的人力開(kāi)發(fā)新的活動(dòng)。然后，他們將手動(dòng)創(chuàng)建的和人工智能創(chuàng)建的網(wǎng)絡(luò)釣魚(yú)電子郵件發(fā)送給志愿測(cè)試對(duì)象，以查看哪種更有效。

GTA的網(wǎng)絡(luò)安全副專家Eugene Lin在上周的Black Hat會(huì)議上表示：“對(duì)于參與這項(xiàng)研究的志愿者的測(cè)試顯示，人工智能管道在三分之二的測(cè)試中顯著優(yōu)于手動(dòng)工作流程。當(dāng)我們添加個(gè)性化設(shè)置時(shí)，人工智能管道表現(xiàn)得更好，在第一次的個(gè)性化設(shè)置測(cè)試中達(dá)到了高達(dá)60%的點(diǎn)擊率。”

此外，研究人員發(fā)現(xiàn)人工智能管道測(cè)試中，測(cè)試對(duì)象點(diǎn)擊鏈接，甚至包括填寫(xiě)表單字段方面都非常有效，轉(zhuǎn)化率高達(dá)80%。

研究人員的調(diào)查顯示，現(xiàn)實(shí)生活中攻擊者可能會(huì)濫用各種人工智能工具。為了對(duì)志愿網(wǎng)絡(luò)釣魚(yú)目標(biāo)進(jìn)行測(cè)試，研究人員利用了Humantic AI，一項(xiàng)基于公開(kāi)信息（如LinkedIn個(gè)人資料）為求職者提供個(gè)性和行為洞察力的服務(wù)。這使他們能夠執(zhí)行網(wǎng)絡(luò)釣魚(yú)上下文生成，從而獲得有關(guān)如何接近目標(biāo)的說(shuō)明。

“我們將Humantic API輸出傳遞為純文本指令，描述目標(biāo)以及如何接近它們。”Lin指出：“Humantic AI只是眾多銷售和招聘?jìng)€(gè)性化API中的一個(gè)，作為一項(xiàng)對(duì)外開(kāi)放的服務(wù)，任何人都可以立即注冊(cè)API，許多公司都可以獲得免費(fèi)演示。因此，在現(xiàn)實(shí)情況下，這些公司都可以對(duì)其改編以使用我們的釣魚(yú)郵件管道。”

然而，目前的人工智能管道并不完美，仍然需要一些人工編輯。盡管如此，在人工智能管道生成的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件中校訂這些問(wèn)題，比網(wǎng)絡(luò)犯罪分子純手工制作要省事得多。

眾所周知，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)面臨問(wèn)題在于，創(chuàng)建可信度極高的網(wǎng)絡(luò)釣魚(yú)電子郵件需要大量時(shí)間和創(chuàng)造力。研究人員還試圖使用GPT-3解決這個(gè)問(wèn)題：

研究人員將OpenAI的GPT-3平臺(tái)與其他專注于個(gè)性分析的人工智能即服務(wù)產(chǎn)品結(jié)合使用，以生成適合潛在受害者工作背景和特征的網(wǎng)絡(luò)釣魚(yú)電子郵件。專注于人格分析的機(jī)器學(xué)習(xí)旨在根據(jù)行為輸入預(yù)測(cè)一個(gè)人的傾向和心態(tài)。通過(guò)多個(gè)服務(wù)運(yùn)行輸出，研究人員能夠開(kāi)發(fā)一個(gè)管道，在發(fā)送之前整理和完善電子郵件。研究人員表示，上述結(jié)果聽(tīng)起來(lái)“非常人性化”，并且這些平臺(tái)自動(dòng)提供了令人驚訝的細(xì)節(jié)，例如在指示為居住在新加坡的人生成內(nèi)容時(shí)提到了新加坡法律。

雖然測(cè)試者對(duì)合成信息的質(zhì)量以及對(duì)信息的點(diǎn)擊次數(shù)，與人工合成信息的點(diǎn)擊次數(shù)的對(duì)比結(jié)果令人印象深刻，但研究人員指出，該實(shí)驗(yàn)只是第一步。樣本量相對(duì)較小，目標(biāo)庫(kù)在就業(yè)和地理區(qū)域方面相當(dāng)同質(zhì)。此外，人工生成的消息和AI即服務(wù)管道生成的消息都是由辦公室內(nèi)部人員創(chuàng)建的，而不是外部攻擊者。

一位安全業(yè)界專家指出，這種方法投入實(shí)際應(yīng)用只是時(shí)間問(wèn)題。攻擊者如果將其與語(yǔ)音和視頻合成（深度偽造）相結(jié)合，將會(huì)產(chǎn)生非?？膳碌膱?chǎng)景和后果。真正的風(fēng)險(xiǎn)不在于人工智能生成的網(wǎng)絡(luò)釣魚(yú)電子郵件與人工生成的一樣好，而是這種生成規(guī)模會(huì)更加龐大。

“人工智能管道通過(guò)節(jié)省人力和時(shí)間，加快了我們的運(yùn)營(yíng)速度，從而帶來(lái)了質(zhì)的改進(jìn)。”Lin還表示：“對(duì)于上下文和內(nèi)容生成，集成AI有助于簡(jiǎn)化和標(biāo)準(zhǔn)化操作。輸入和輸出不再取決于單個(gè)操作員的技能組合和傾向。”最后，Lin指出還可以將他們的基礎(chǔ)設(shè)施與其他現(xiàn)有工具（例如Gophish開(kāi)源網(wǎng)絡(luò)釣魚(yú)框架）集成：“這突顯了人工智能即服務(wù)如何從開(kāi)源語(yǔ)言模型中提高可訪問(wèn)性。”

GTA的網(wǎng)絡(luò)安全副專家Timothy Lee表示，提供人工智能即服務(wù)產(chǎn)品的公司必須作為第一道防線，制定使用條款和篩選指南，以阻止誤用和濫用。此外，他建議解決方案供應(yīng)商確保對(duì)其產(chǎn)品的使用情況進(jìn)行審核和跟蹤。與此同時(shí)，企業(yè)可能需要進(jìn)一步加強(qiáng)反網(wǎng)絡(luò)釣魚(yú)培訓(xùn)，并將其作為企業(yè)安全意識(shí)規(guī)劃的重要部分。