AI在5分鐘內(nèi)創(chuàng)建出具有高度說服力的電子郵件,這應(yīng)引起企業(yè)的高度重視

責(zé)任編輯:cres

作者:Michael Hill

2023-10-25 14:48:48

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

安全領(lǐng)導(dǎo)人對GenAI可能制造更復(fù)雜的電子郵件攻擊的擔(dān)憂是有充分理由的。兩項(xiàng)新的研究表明,GenAI在重塑釣魚電子郵件威脅格局方面發(fā)揮著重要作用。

來自Abnormal Security的一份AI支持的世界報告中的電子郵件安全狀況顯示,安全領(lǐng)導(dǎo)者高度關(guān)注GenAI制造更復(fù)雜電子郵件攻擊的潛力,許多人要么已經(jīng)遭受了AI生成的電子郵件攻擊,要么強(qiáng)烈懷疑這種情況。
 
IBM X-Force的研究表明,這些擔(dān)憂是有道理的。只需五個簡單的提示,IBM X-Force研究團(tuán)隊(duì)就能在短短五分鐘內(nèi)誘騙一個AI模型開發(fā)出幾乎與熟練人類所創(chuàng)建的電子郵件一樣“極具說服力”的釣魚電子郵件,這可能為攻擊者節(jié)省了近兩天的工作。
 
這項(xiàng)研究發(fā)布之際,隨著商業(yè)用例的增加,GenAI的快速增長和采用對網(wǎng)絡(luò)安全的影響繼續(xù)成為頭條新聞。
 
網(wǎng)絡(luò)安全利益相關(guān)者擔(dān)心GenAI隱含的風(fēng)險
 
在Abnormal Security調(diào)查的300名高級網(wǎng)絡(luò)安全利益相關(guān)者中,幾乎所有人(98%)都擔(dān)心ChatGPT、Google Bard、WormGPT和類似的GenAI工具帶來的網(wǎng)絡(luò)安全風(fēng)險。根據(jù)這份報告,他們主要擔(dān)心的是GenAI使電子郵件攻擊變得更加復(fù)雜——特別是它可以幫助攻擊者根據(jù)公開可獲得的信息策劃高度特定和個性化的電子郵件攻擊。
 
然而,研究發(fā)現(xiàn),盡管存在廣泛的擔(dān)憂,但絕大多數(shù)安全領(lǐng)導(dǎo)人沒有做好充分準(zhǔn)備,以防范AI生成的電子郵件攻擊。大多數(shù)受訪者仍然依賴他們的云電子郵件提供商或傳統(tǒng)工具來實(shí)現(xiàn)電子郵件安全,超過一半(53%)的受訪者仍在使用安全電子郵件網(wǎng)關(guān)來保護(hù)他們的電子郵件環(huán)境。這種方法似乎沒有奏效,因?yàn)榻话氲氖茉L者(46%)對檢測和阻止AI生成的攻擊的傳統(tǒng)解決方案缺乏信心。
 
AI生成的釣魚電子郵件“相當(dāng)有說服力”
 
IBM X-Force的發(fā)現(xiàn)很可能會促使許多安全領(lǐng)導(dǎo)者改變他們的電子郵件安全策略,以應(yīng)對GenAI制作復(fù)雜網(wǎng)絡(luò)釣魚消息的能力。該團(tuán)隊(duì)的目標(biāo)是通過比較AI生成的電子郵件和人工生成的電子郵件在針對組織的模擬中的點(diǎn)擊率,來確定當(dāng)前的GenAI模型是否具有與人類思維相同的欺騙能力。
 
IBM首席人員黑客斯蒂芬妮·卡拉瑟斯寫道,通過一個系統(tǒng)的試驗(yàn)和改進(jìn)過程,只創(chuàng)建了一個只有5個提示的集合,以指示ChatGPT生成針對特定行業(yè)定制的釣魚電子郵件。“一開始,我們要求ChatGPT詳細(xì)說明這些行業(yè)員工關(guān)注的主要領(lǐng)域。在將行業(yè)和員工的擔(dān)憂列為首要關(guān)注點(diǎn)后,我們促使ChatGPT在電子郵件中同時使用社交工程和營銷技巧做出戰(zhàn)略選擇。”
 
卡拉瑟斯說,這些選擇旨在優(yōu)化更多員工點(diǎn)擊電子郵件本身中的鏈接的可能性。接下來,提示詢問ChatGPT發(fā)送者應(yīng)該是誰(例如,公司內(nèi)部、供應(yīng)商或外部組織的某個人)。最后,該團(tuán)隊(duì)要求ChatGPT添加以下完成內(nèi)容來創(chuàng)建釣魚電子郵件:
 
1.醫(yī)療行業(yè)員工最關(guān)注的領(lǐng)域:職業(yè)發(fā)展、工作穩(wěn)定性、工作成就感。
 
2.應(yīng)使用的社會工程技術(shù):信任、權(quán)威、社會證明。
 
3.應(yīng)該使用的營銷技巧:個性化、移動優(yōu)化、行動號召。
 
4.其應(yīng)冒充的人員或公司:內(nèi)部人力資源經(jīng)理。
 
5.電子郵件生成:根據(jù)上面列出的所有信息,ChatGPT生成了以下經(jīng)過編輯的電子郵件,隨后發(fā)送給800多名員工。
 
“我有近十年的社交工程經(jīng)驗(yàn),精心制作了數(shù)百封釣魚郵件,我甚至發(fā)現(xiàn)AI生成的釣魚郵件相當(dāng)有說服力。”卡拉瑟斯寫道。
 
人工生成的網(wǎng)絡(luò)釣魚稍微成功一些
 
在IBM X-Force實(shí)驗(yàn)的第二部分,經(jīng)驗(yàn)豐富的社交工程師創(chuàng)建了在個人層面上與他們的目標(biāo)產(chǎn)生共鳴的釣魚電子郵件。他們采用了獲得開源情報(OSINT)的初始階段,然后精心構(gòu)建自己的釣魚電子郵件,以和GenAI創(chuàng)建的電子郵件進(jìn)行對比。
 
在一輪緊張的A/B測試之后,結(jié)果很明顯:人類獲勝了,但以最小的優(yōu)勢獲勝。根據(jù)IBM X-Force的數(shù)據(jù),GenAI網(wǎng)絡(luò)釣魚點(diǎn)擊率為11%,而人類網(wǎng)絡(luò)釣魚點(diǎn)擊率為14%。AI生成的電子郵件也被報告為可疑,與人類生成的郵件相比,可疑郵件的比例分別為59%和52%。
 
卡拉瑟斯寫道:“人類可能以微弱優(yōu)勢贏得了這場比賽,但AI正在不斷進(jìn)步。”隨著技術(shù)的進(jìn)步,AI將變得更加復(fù)雜,甚至有一天可能會超過人類。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號