資安公司 SlashNext 的《2023釣魚狀況報告》顯示,網路犯罪份子已充分利用生成式人工智慧工具,導致釣魚攻擊大幅增加。報告指出,生成式AI的快速增長導致了釣魚攻擊的快速增加,使威脅行為者能夠修改惡意軟體中的程式碼,創建大量社交工程攻擊變體,並增加成功的可能性,這其中以帳號資訊網路釣魚攻擊上升967%最為明顯。這一令人擔憂的趨勢歸因於生成式AI工具,如ChatGPT,用於製作複雜且有針對性的商業郵件詐騙(Business Email Compromise,BEC)和其他釣魚郵件。
該研究以300多名北美資安專業人員作為訪問對象,調查顯示他們每天平均檢測到31,000起釣魚攻擊。約有46%受訪者報告遭遇BEC攻擊,77%的受訪者成為釣魚攻擊目標。生成式AI的快速增長導致了釣魚攻擊的快速增加,使威脅行為者能夠修改惡意軟體中的程式碼,創建大量社交工程攻擊變體,並大幅提升成功機率。社交工程攻擊變體指的是攻擊者使用多種不同的手法和策略,對社交工程攻擊進行變化和改良,添加難以被辨識的特徵,藉此提高攻擊的成功率。在這種情境下,攻擊者會不斷改變欺騙手法,使其更具迷惑性,更有效地欺騙目標人員。
SlashNext的執行長Patrick Harr強調了生成式AI對釣魚增長的影響,引用了FBI的《網際網路犯罪報告》,該報告指出2022年單單BEC已造成約27億美元的損失。報告強調了生成式AI驅動攻擊的複雜性,網路犯罪集團利用ChatGPT和WormGPT等工具發起BEC攻擊。
此外,還存在與AI「越獄」相關的新威脅,允許駭客巧妙地刪除生成式AI聊天機器人的合法使用限制。通過這種方式,攻擊者可以將像ChatGPT這樣的工具變成武器,欺騙受害者洩露個人資料或登錄憑證,進而導致更嚴重的侵入。
報告建議採取持續的最終用戶教育、利用基於機器學習的電子郵件篩選工具、定期測試和安全稽核,以及採用零信任策略來降低由AI生成的電子郵件攻擊成功率。
IBM的研究展示了ChatGPT可以有效地撰寫令人信服的釣魚郵件。一項A/B測試實驗表明,ChatGPT生成的電子郵件實現了11%的點擊率,與由人編寫的釣魚郵件的14%點擊率近乎相當。該研究突顯了生成式AI導致網路攻擊威脅的快速演變,並強調了針對這些複雜攻擊採取強大資安措施的必要性。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Bob Violino(2023). AI tools such as ChatGPT are generating a mammoth increase in malicious phishing emails. cnbc. 檢自:https://www.cnbc.com/2023/11/28/ai-like-chatgpt-is-creating-huge-increase-in-malicious-phishing-email.html (NOV 28 2023)
Alessandro Mascellino(2023). infosecurity-magazine. 檢自:https://www.infosecurity-magazine.com/news/chatgpt-linked-rise-phishing/ (OCT 30 2023)
Sam Sabin(2023). ChatGPT-written phishing emails are already scary good.axios. 檢自:https://www.axios.com/2023/10/24/chatgpt-written-phishing-emails (Oct 24, 2023)
