隨著社會(huì)進(jìn)入人工智能時(shí)代，機(jī)器幾乎滲透到生活的方方面面，而攻擊者能夠在多大程度上濫用人工智能的可能性仍不為人知。

為了更好地理解攻擊者如何利用生成人工智能，IBM X-Force團(tuán)隊(duì)進(jìn)行了一個(gè)研究項(xiàng)目，揭示了一個(gè)關(guān)鍵問題：當(dāng)前的生成式人工智能模型是否具備與人類思維相同的欺騙能力？

想象一下這個(gè)場(chǎng)景：人工智能在一場(chǎng)網(wǎng)絡(luò)釣魚戰(zhàn)中與人類較量。研究人員的目標(biāo)是確定在針對(duì)組織的網(wǎng)絡(luò)釣魚模擬中，哪個(gè)競(jìng)爭(zhēng)者可以獲得更高的點(diǎn)擊率？

事實(shí)證明，只需要五個(gè)簡(jiǎn)單的提示，研究人員就能夠欺騙一個(gè)生成式人工智能模型，在短短五分鐘內(nèi)開發(fā)出高度令人信服的網(wǎng)絡(luò)釣魚郵件。而研究團(tuán)隊(duì)通常需要大約16個(gè)小時(shí)來構(gòu)建一個(gè)網(wǎng)絡(luò)釣魚郵件，這還沒有考慮到基礎(chǔ)設(shè)施的設(shè)置，因此，攻擊者可以通過使用生成式人工智能模型節(jié)省近兩天的工作。

人工智能生成的網(wǎng)絡(luò)釣魚非常令人信服，幾乎擊敗了經(jīng)驗(yàn)豐富的社會(huì)工程師制作的網(wǎng)絡(luò)釣魚，甚至可以說是處于同等水平，這是一個(gè)重要的進(jìn)步。

接下來，我們將詳細(xì)介紹如何創(chuàng)建AI提示，如何進(jìn)行測(cè)試，以及這對(duì)當(dāng)今和未來的社會(huì)工程攻擊意味著什么。

第一輪：機(jī)器的崛起

一方面，研究人員用人工智能工具生成了一份網(wǎng)絡(luò)釣魚郵件，它帶有非常狡猾和令人信服的敘述。

創(chuàng)建提示

通過一個(gè)系統(tǒng)的實(shí)驗(yàn)和改進(jìn)過程，研究人員設(shè)計(jì)了一個(gè)只有五個(gè)提示的集合來指導(dǎo)ChatGPT生成針對(duì)特定行業(yè)部門的網(wǎng)絡(luò)釣魚郵件。

首先，研究人員要求ChatGPT詳細(xì)說明這些行業(yè)中員工關(guān)心的主要領(lǐng)域。在優(yōu)先考慮行業(yè)和員工的關(guān)注點(diǎn)后，研究人員促使ChatGPT在電子郵件中使用社會(huì)工程和營(yíng)銷技術(shù)做出戰(zhàn)略選擇。這些選擇旨在優(yōu)化更多員工點(diǎn)擊電子郵件本身鏈接的可能性。接下來，提示詢問ChatGPT發(fā)送者應(yīng)該是誰（例如，公司內(nèi)部人員、供應(yīng)商、外部組織等）。最后，研究人員要求ChatGPT添加以下功能來創(chuàng)建釣魚郵件：

1.醫(yī)療保健行業(yè)員工最關(guān)心的領(lǐng)域：職業(yè)發(fā)展、工作穩(wěn)定、成就感等等；

2.應(yīng)該使用的社會(huì)工程技術(shù)：信任，權(quán)威，社會(huì)證明；

3.應(yīng)該使用的營(yíng)銷技巧：個(gè)性化，移動(dòng)優(yōu)化，號(hào)召行動(dòng)；

4.個(gè)人或公司：內(nèi)部人力資源經(jīng)理；

5.電子郵件生成：考慮到上面列出的所有信息，ChatGPT生成了以下編輯過的電子郵件，后來由IBM X-Force團(tuán)隊(duì)發(fā)送給了800多名員工。

AI VS騙術(shù)大PK：揭開網(wǎng)絡(luò)釣魚策略新時(shí)代

一位有近十年社會(huì)工程經(jīng)驗(yàn)，且制作過數(shù)百封網(wǎng)絡(luò)釣魚郵件的專家表示，人工智能生成的網(wǎng)絡(luò)釣魚郵件相當(dāng)有說服力。事實(shí)上，最初有三個(gè)組織同意參與這個(gè)研究項(xiàng)目，其中兩個(gè)組織在審查了這兩封網(wǎng)絡(luò)釣魚郵件后完全退出了，因?yàn)猷]件承諾的內(nèi)容與他們預(yù)期不符。正如提示所示，參與本研究的組織位于醫(yī)療保健行業(yè)，這是目前最具針對(duì)性的行業(yè)之一。

提高攻擊者的生產(chǎn)力

研究團(tuán)隊(duì)大約需要16個(gè)小時(shí)來制作一封網(wǎng)絡(luò)釣魚郵件，但人工智能網(wǎng)絡(luò)釣魚郵件只需要5分鐘就能生成，且只有5個(gè)簡(jiǎn)單的提示。

第二輪：人性化

另一方面，X-Force派出了經(jīng)驗(yàn)豐富的紅隊(duì)社會(huì)工程師。憑借創(chuàng)造力和一點(diǎn)點(diǎn)心理學(xué)，這些社會(huì)工程師創(chuàng)造了網(wǎng)絡(luò)釣魚電子郵件，在個(gè)人層面上與他們的目標(biāo)產(chǎn)生了共鳴，人為因素增加了一種通常難以復(fù)制的真實(shí)性。

第一步：OSINT

社會(huì)工程師的網(wǎng)絡(luò)釣魚方法總是從獲取開源智能（OSINT）的初始階段開始。OSINT是對(duì)可公開獲取的信息的檢索，這些信息隨后經(jīng)過嚴(yán)格的分析，并作為制定社會(huì)工程運(yùn)動(dòng)的基礎(chǔ)資源。值得注意的是，X-Force的OSINT數(shù)據(jù)存儲(chǔ)庫包括LinkedIn、該組織的官方博客、Glassdoor等平臺(tái)，以及大量其他來源。

在OSINT活動(dòng)中，X-Force社會(huì)工程師們?cè)敿?xì)介紹了最近啟動(dòng)的一項(xiàng)員工健康計(jì)劃，令人鼓舞的是，這個(gè)項(xiàng)目在Glassdoor上得到了員工的好評(píng)，證明了它的有效性和員工滿意度。此外，我們確定了一個(gè)人負(fù)責(zé)通過LinkedIn管理這個(gè)項(xiàng)目。

第二步：電子郵件制作

利用OSINT階段收集的數(shù)據(jù)，X-Force社會(huì)工程師開始了精心構(gòu)建網(wǎng)絡(luò)釣魚電子郵件的過程。為了增強(qiáng)真實(shí)性和熟悉感，社會(huì)工程師還加入了一個(gè)合法的網(wǎng)站鏈接到一個(gè)最近結(jié)束的項(xiàng)目。

為了增加說服力，社會(huì)工程師通過引入“人為的時(shí)間限制”，戰(zhàn)略性地整合了感知緊迫性的元素。他們向收件人表示，有關(guān)調(diào)查只包括“五個(gè)簡(jiǎn)短的問題”，并保證完成調(diào)查只需要占用其“幾分鐘”時(shí)間，最后期限為“本周五”。這種深思熟慮的框架強(qiáng)調(diào)了對(duì)收件人時(shí)間的最小占用，加強(qiáng)了網(wǎng)絡(luò)釣魚方法的非侵入性。

使用調(diào)查作為網(wǎng)絡(luò)釣魚的借口通常是有風(fēng)險(xiǎn)的，因?yàn)樗ǔ１灰暈橐粋€(gè)危險(xiǎn)信號(hào)或被簡(jiǎn)單地忽略。然而，考慮到前期收集的數(shù)據(jù)，社會(huì)工程們認(rèn)為潛在的好處可能超過相關(guān)的風(fēng)險(xiǎn)。

以下經(jīng)過編輯的網(wǎng)絡(luò)釣魚郵件被發(fā)送給一家全球醫(yī)療保健組織的800多名員工：

AI VS騙術(shù)大PK：揭開網(wǎng)絡(luò)釣魚策略新時(shí)代

冠軍：人類勝利了，但優(yōu)勢(shì)微弱！

經(jīng)過一輪激烈的A/B測(cè)試后，結(jié)果很明顯：人類取得了勝利，但優(yōu)勢(shì)非常微弱。

AI VS騙術(shù)大PK：揭開網(wǎng)絡(luò)釣魚策略新時(shí)代

雖然人工制作的網(wǎng)絡(luò)釣魚郵件成功地勝過了人工智能，但這是一場(chǎng)勢(shì)均力敵的比賽。原因如下：

情商：人類理解情感的方式是人工智能可望不可即的。人類可以編織一些牽動(dòng)心弦、聽起來更真實(shí)的故事，讓接收者更有可能點(diǎn)擊惡意鏈接。例如，人類在組織內(nèi)選擇了一個(gè)合法的例子，而人工智能選擇了一個(gè)廣泛的主題，使人類生成的網(wǎng)絡(luò)釣魚郵件看起來更可信。

個(gè)性化：除了在電子郵件的介紹中加入收件人的名字外，人類工程師還提供了一個(gè)合法組織的參考，為他們的員工提供了切實(shí)的優(yōu)勢(shì)。

短小精悍的主題行：人類生成的網(wǎng)絡(luò)釣魚郵件主題行短小精悍（員工健康調(diào)查），而人工智能生成的網(wǎng)絡(luò)釣魚郵件主題行極其冗長(zhǎng)（解鎖你的未來：X公司的晉升之路），甚至在員工打開電子郵件之前就可能引起懷疑。

此外，人工智能生成的網(wǎng)絡(luò)釣魚不僅輸給了人類，而且被報(bào)告為可疑的比率也更高。

AI VS騙術(shù)大PK：揭開網(wǎng)絡(luò)釣魚策略新時(shí)代

結(jié)論：窺見未來

雖然X-Force并沒有在當(dāng)前的活動(dòng)中大規(guī)模使用生成式人工智能，但在各種廣告釣魚功能的論壇上，可以看到像WormGPT這樣的工具正在銷售，這些工具是為不受限制或半受限制的LLM而構(gòu)建的，這表明攻擊者正在測(cè)試人工智能在網(wǎng)絡(luò)釣魚活動(dòng)中的使用。

雖然，即使是受限制版本的生成式人工智能模型也可以通過簡(jiǎn)單的提示來制作網(wǎng)絡(luò)釣魚郵件，但這些不受限制的版本可能會(huì)為攻擊者提供更有效的方法來擴(kuò)展復(fù)雜的網(wǎng)絡(luò)釣魚電子郵件。

人類可能以微弱優(yōu)勢(shì)贏得了這場(chǎng)比賽，但人工智能正在不斷進(jìn)步，正如我們所知，攻擊者在不斷地適應(yīng)和創(chuàng)新。就在今年，我們已經(jīng)看到越來越多的騙子使用人工智能生成的語音克隆來欺騙人們寄錢、送禮品卡或泄露敏感信息。

雖然在情緒操縱和制作有說服力的電子郵件方面，人類可能仍然占上風(fēng)，但人工智能在網(wǎng)絡(luò)釣魚中的出現(xiàn)標(biāo)志著社會(huì)工程攻擊的關(guān)鍵時(shí)刻。

以下是對(duì)企業(yè)和消費(fèi)者做好準(zhǔn)備的五條關(guān)鍵建議：

1. 當(dāng)你有疑問的時(shí)候，打電話給發(fā)件人：如果你懷疑一封郵件是否合法，拿起電話核實(shí)一下。考慮與親密的朋友和家人設(shè)置安全暗號(hào)，以便在釣魚或人工智能生成的電話騙局的情況下使用。

2. 摒棄語法刻板印象：不要以為網(wǎng)絡(luò)釣魚郵件充斥著錯(cuò)誤的語法和拼寫錯(cuò)誤。人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)釣魚嘗試越來越復(fù)雜，語法也是正確的。這就是為什么要對(duì)我們的員工進(jìn)行再教育，并強(qiáng)調(diào)語法錯(cuò)誤不再是主要的危險(xiǎn)信號(hào)。相反地，我們應(yīng)該訓(xùn)練他們對(duì)電子郵件內(nèi)容的長(zhǎng)度和復(fù)雜性保持警惕。較長(zhǎng)的電子郵件通常是人工智能生成文本的標(biāo)志，這可能是一個(gè)警告信號(hào)。

3. 改進(jìn)社會(huì)工程項(xiàng)目：這包括將釣魚等技術(shù)引入培訓(xùn)項(xiàng)目，這種技術(shù)執(zhí)行起來很簡(jiǎn)單，而且通常非常有效。X-Force的一份報(bào)告發(fā)現(xiàn)，添加電話的針對(duì)性網(wǎng)絡(luò)釣魚活動(dòng)的效果是沒有添加電話的網(wǎng)絡(luò)釣魚活動(dòng)的3倍。

4. 加強(qiáng)身份和訪問管理控制：高級(jí)身份訪問管理系統(tǒng)可以幫助驗(yàn)證誰在訪問什么數(shù)據(jù)，他們是否有適當(dāng)?shù)臋?quán)限，以及他們是否就是他們所說的那個(gè)人。

5. 不斷適應(yīng)和創(chuàng)新：人工智能的快速發(fā)展意味著網(wǎng)絡(luò)犯罪分子將繼續(xù)完善他們的戰(zhàn)術(shù)，我們必須保持這種不斷適應(yīng)和創(chuàng)新的心態(tài)。定期更新內(nèi)部TTPS、威脅檢測(cè)系統(tǒng)和員工培訓(xùn)材料對(duì)于領(lǐng)先惡意行為者一步至關(guān)重要。

結(jié)語

人工智能在網(wǎng)絡(luò)釣魚攻擊中的出現(xiàn)，促使我們重新評(píng)估我們的網(wǎng)絡(luò)安全方法。通過采納這些建議并在面對(duì)不斷變化的威脅時(shí)保持警惕，我們可以在動(dòng)態(tài)的數(shù)字時(shí)代加強(qiáng)防御，保護(hù)我們的企業(yè)，確保我們的數(shù)據(jù)和人員的安全。

文章翻譯自：https://securityintelligence.com/x-force/ai-vs-human-deceit-unravelling-new-age-phishing-tactics/如若轉(zhuǎn)載，請(qǐng)注明原文地址