IBM X-Force的研究表明,這些擔(dān)憂是有道理的。只需五個(gè)簡單的提示,IBM X-Force研究團(tuán)隊(duì)就能在短短五分鐘內(nèi)誘騙一個(gè)AI模型開發(fā)出幾乎與熟練人類所創(chuàng)建的電子郵件一樣“極具說服力”的釣魚電子郵件,這可能為攻擊者節(jié)省了近兩天的工作。
這項(xiàng)研究發(fā)布之際,隨著商業(yè)用例的增加,GenAI的快速增長和采用對(duì)網(wǎng)絡(luò)安全的影響繼續(xù)成為頭條新聞。
網(wǎng)絡(luò)安全利益相關(guān)者擔(dān)心GenAI隱含的風(fēng)險(xiǎn)
在Abnormal Security調(diào)查的300名高級(jí)網(wǎng)絡(luò)安全利益相關(guān)者中,幾乎所有人(98%)都擔(dān)心ChatGPT、Google Bard、WormGPT和類似的GenAI工具帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。根據(jù)這份報(bào)告,他們主要擔(dān)心的是GenAI使電子郵件攻擊變得更加復(fù)雜——特別是它可以幫助攻擊者根據(jù)公開可獲得的信息策劃高度特定和個(gè)性化的電子郵件攻擊。
然而,研究發(fā)現(xiàn),盡管存在廣泛的擔(dān)憂,但絕大多數(shù)安全領(lǐng)導(dǎo)人沒有做好充分準(zhǔn)備,以防范AI生成的電子郵件攻擊。大多數(shù)受訪者仍然依賴他們的云電子郵件提供商或傳統(tǒng)工具來實(shí)現(xiàn)電子郵件安全,超過一半(53%)的受訪者仍在使用安全電子郵件網(wǎng)關(guān)來保護(hù)他們的電子郵件環(huán)境。這種方法似乎沒有奏效,因?yàn)榻话氲氖茉L者(46%)對(duì)檢測和阻止AI生成的攻擊的傳統(tǒng)解決方案缺乏信心。
AI生成的釣魚電子郵件“相當(dāng)有說服力”
IBM X-Force的發(fā)現(xiàn)很可能會(huì)促使許多安全領(lǐng)導(dǎo)者改變他們的電子郵件安全策略,以應(yīng)對(duì)GenAI制作復(fù)雜網(wǎng)絡(luò)釣魚消息的能力。該團(tuán)隊(duì)的目標(biāo)是通過比較AI生成的電子郵件和人工生成的電子郵件在針對(duì)組織的模擬中的點(diǎn)擊率,來確定當(dāng)前的GenAI模型是否具有與人類思維相同的欺騙能力。
IBM首席人員黑客斯蒂芬妮·卡拉瑟斯寫道,通過一個(gè)系統(tǒng)的試驗(yàn)和改進(jìn)過程,只創(chuàng)建了一個(gè)只有5個(gè)提示的集合,以指示ChatGPT生成針對(duì)特定行業(yè)定制的釣魚電子郵件。“一開始,我們要求ChatGPT詳細(xì)說明這些行業(yè)員工關(guān)注的主要領(lǐng)域。在將行業(yè)和員工的擔(dān)憂列為首要關(guān)注點(diǎn)后,我們促使ChatGPT在電子郵件中同時(shí)使用社交工程和營銷技巧做出戰(zhàn)略選擇。”
卡拉瑟斯說,這些選擇旨在優(yōu)化更多員工點(diǎn)擊電子郵件本身中的鏈接的可能性。接下來,提示詢問ChatGPT發(fā)送者應(yīng)該是誰(例如,公司內(nèi)部、供應(yīng)商或外部組織的某個(gè)人)。最后,該團(tuán)隊(duì)要求ChatGPT添加以下完成內(nèi)容來創(chuàng)建釣魚電子郵件:
1.醫(yī)療行業(yè)員工最關(guān)注的領(lǐng)域:職業(yè)發(fā)展、工作穩(wěn)定性、工作成就感。
2.應(yīng)使用的社會(huì)工程技術(shù):信任、權(quán)威、社會(huì)證明。
3.應(yīng)該使用的營銷技巧:個(gè)性化、移動(dòng)優(yōu)化、行動(dòng)號(hào)召。
4.其應(yīng)冒充的人員或公司:內(nèi)部人力資源經(jīng)理。
5.電子郵件生成:根據(jù)上面列出的所有信息,ChatGPT生成了以下經(jīng)過編輯的電子郵件,隨后發(fā)送給800多名員工。
“我有近十年的社交工程經(jīng)驗(yàn),精心制作了數(shù)百封釣魚郵件,我甚至發(fā)現(xiàn)AI生成的釣魚郵件相當(dāng)有說服力。”卡拉瑟斯寫道。
人工生成的網(wǎng)絡(luò)釣魚稍微成功一些
在IBM X-Force實(shí)驗(yàn)的第二部分,經(jīng)驗(yàn)豐富的社交工程師創(chuàng)建了在個(gè)人層面上與他們的目標(biāo)產(chǎn)生共鳴的釣魚電子郵件。他們采用了獲得開源情報(bào)(OSINT)的初始階段,然后精心構(gòu)建自己的釣魚電子郵件,以和GenAI創(chuàng)建的電子郵件進(jìn)行對(duì)比。
在一輪緊張的A/B測試之后,結(jié)果很明顯:人類獲勝了,但以最小的優(yōu)勢獲勝。根據(jù)IBM X-Force的數(shù)據(jù),GenAI網(wǎng)絡(luò)釣魚點(diǎn)擊率為11%,而人類網(wǎng)絡(luò)釣魚點(diǎn)擊率為14%。AI生成的電子郵件也被報(bào)告為可疑,與人類生成的郵件相比,可疑郵件的比例分別為59%和52%。
卡拉瑟斯寫道:“人類可能以微弱優(yōu)勢贏得了這場比賽,但AI正在不斷進(jìn)步。”隨著技術(shù)的進(jìn)步,AI將變得更加復(fù)雜,甚至有一天可能會(huì)超過人類。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)