你的數據真的安全嗎?黑客利用機器學習竊取數據的7種方式
本文轉載自公眾號“讀芯術”(ID:AI_Discovery)
黑客,一個令計算機小白“聞風喪膽”的名字。
他們似乎總是帶著隱秘的面紗,隱藏在角落里卻看透整個世界,但在網絡的世界里,他們無所不能。
幾十年前剛有小型電腦的時候,產生了一個由程序專家和部分網絡名人所組成的文化社群。該社群的成員創造出了hacker這個詞,也就是人們常說的“黑客”。這些黑客們建立了后來的Internet,以及發明了電腦的操作系統。
但隨著灰鴿子的出現,灰鴿子成為了很多假借黑客名義控制他人電腦的黑客技術,于是出現了“駭客”與"黑客"分家。
機器學習是人工智能的一個子集,以其分析大數據和識別模式的能力而聞名。
機器學習使用的算法利用了先前的數據集和統計分析以作出假設并進行行為判斷。
機器學習的優秀特性是由機器學習算法驅動的軟件或計算機能夠操作尚未被編程執行的功能。
盡管機器學習面臨挑戰,但它仍是識別網絡安全威脅并降低風險的理想選擇。微軟在2018年通過其Windows Defender做到了這一點。微軟旗下的軟件配備了多層機器學習,甚至在開始挖掘之前就成功識別并阻止了加密礦工。網絡攻擊者試圖通過木馬惡意軟件在數千臺計算機上安裝加密貨幣礦工,但由于機器學習,他們的計劃失敗了。
正因為如此,機器學習被網絡安全專家廣泛應用,通過定位準確性和情境智能的強化來提升端點安全性。不幸的是,網絡安全專業人士并不是唯一受益于機器學習的群體。網絡攻擊者也利用這項技術開發復雜的流氓軟件和安全攻擊,從而繞過安全系統。
在本文中,您將了解黑客利用機器學習完成惡意設計的七種方法。
1.網絡詐騙
網絡詐騙能夠偽造公司、大品牌或知名人士以及高層員工。利用機器學習算法的功能,網絡攻擊者首先從不同的角度分析目標,并試圖扮演公司CEO的角色。接下來,他們開始發送惡意電子郵件。更有甚者使用機器學習算法來了解公司所有者如何撰寫、發布社交媒體帖子和電子郵件。一旦完成,他們就能從中偽造文本、視頻和聲音以誘騙員工采取所需的行動。我們已經看到某些語音欺詐事件的潛在后果。
2.漏洞掃描
在這場網絡安全競賽中,黑客總是比網絡安全專家領先一步。為何如此?他們一直在尋找可以利用的漏洞。一旦發現漏洞,他們就會利用漏洞發動攻擊。另一方面,網絡安全專家需要更長的時間來修補這些漏洞。
機器學習可以擴大雙方行動的時間差距并大力加速漏洞攻擊進程,因為它可以幫助黑客快速檢測漏洞。這意味著,黑客們能夠在更短的時間內識別并瞄準這些漏洞。給你舉個例子:可以把系統錯誤或故障當成漏洞,以往黑客識別這種漏洞需要幾天,而如今得益于機器學習,僅需幾分鐘。
3.勒索軟件和其他惡意軟件
大多數網絡安全攻擊都會使用惡意軟件,即使使用的軟件類型各式各樣,可能是勒索軟件,間諜軟件或特洛伊木馬。通過機器學習算法,網絡騙子試圖增強惡意軟件的復雜性以降低可識別性和破解度。我們觀察到惡意軟件可以隨意改變行為,無法被保護系統識別。關鍵是按時更新反惡意軟件的防護功能并及時備份數據。
4.網絡釣魚和矛式網絡釣魚
網絡攻擊者不斷訓練機器學習算法以創建真實世界的情況。例如,黑客正使用機器學習算法來破解服務提供商的自動電子郵件模式。這樣黑客們就能創建與真實消息完全相同的虛假消息,接收者基本無法識別差異并且最終共享了用戶ID和密碼。解決此問題的優秀方法是提高員工的網絡安全意識。投資網絡安全培訓項目并通過發起模擬攻擊來測試員工對網絡安全知識的掌握程度。這將使管理者清楚地了解員工該如何抵御這些網絡釣魚和魚叉式網絡釣魚攻擊。訓練有素、網絡安全意識強的員工可以成為一種資產,因為他們不僅可以使自己免受此類攻擊,還可以趁早識別并匯報網絡攻擊。
5.DDoS攻擊
借助機器學習,網絡攻擊者可以自動執行網絡安全攻擊的不同元素和階段。假設某位網絡罪犯計劃正發起網絡釣魚攻擊。為此,他創建了一個網絡釣魚電子郵件。他想在不同的時間將此電子郵件發送給不同的小組。機器學習算法可以幫助他實施此計劃。機器學習問世之后,黑客常使用機器學習算法來發起和控制僵尸網絡和僵尸機器的危險DDoS攻擊。
6.社會工程攻擊
網絡犯罪分子深知人類是網絡安全鏈中最薄弱的一環。社會工程攻擊事件的增長趨勢有力體現了這點。社會工程攻擊的主要目的是欺騙人們提供敏感的私人和財務信息,或說服他們采取某些行動。
黑客們可以通過機器學習進一步收集企業、員工及其合作伙伴的敏感數據。更糟糕的是,由于機器學習可以復制基于社交工程的攻擊,黑客們不需要太多時間就能進行攻擊。
7.破解密碼和驗證碼
大多數人仍使用密碼業務,企業使用密碼進行授權和用戶認證。即使您遵循密碼優秀實踐和安全的應用程序開發過程,密碼也不是最安全的選項。黑客使用蠻力攻擊并破解你的密碼,機器學習助力匪淺。機器學習加快了密碼匹配進程,并讓黑客更快地發現正確密碼。此外,網絡罪犯不斷訓練機器以越過諸如驗證碼之類的保護屏障。
面對以上“攻擊”,是否提高了您的警戒心?仔細想想,您是否采取了相應的安全措施來保護關鍵業務資產免受基于AI的網絡安全攻擊?
