在围绕 ChatGPT 和其他人工智能应用程序的所有讨论中,网络犯罪分子已经开始使用人工智能来生成网络钓鱼电子邮件。 根据安全培训师 Hoxhunt 周三发布的新报告,目前,人类网络犯罪分子在设计成功的网络钓鱼攻击方面仍然更加熟练,但差距正在缩小。
ChatGPT 与人类发起的网络钓鱼活动
Hoxhunt 将 ChatGPT 生成的网络钓鱼活动与人类创建的网络钓鱼活动进行比较,以确定哪种更有可能欺骗毫无戒心的受害者。
为了进行这项实验,该公司向 100 个国家/地区的 53,127 位用户发送了由人类社会工程师或 ChatGPT 设计的网络钓鱼模拟。 用户在收件箱中收到网络钓鱼模拟,就像他们收到任何类型的电子邮件一样。 该测试旨在触发三种可能的反应:
成功:用户通过 Hoxhunt 威胁报告按钮成功将网络钓鱼模拟报告为恶意。
小姐:用户不与网络钓鱼模拟进行交互。
失败:用户上当并点击电子邮件中的恶意链接。
Hoxhunt 主导的网络钓鱼模拟结果
最终,人为生成的网络钓鱼邮件比 ChatGPT 创建的邮件捕获了更多的受害者。 具体来说,用户对人工生成的消息的迷恋率为 4.2%,而对人工智能生成的消息的迷信率为 2.9%。 这意味着人类社会工程师的表现比 ChatGPT 高出约 69%。
这项研究的一个积极成果是,安全培训可以有效阻止网络钓鱼攻击。 具有较高安全意识的用户更有可能抵制网络钓鱼电子邮件的诱惑,无论这些电子邮件是由人类还是人工智能生成的。 点击消息中恶意链接的用户比例从训练较少的用户中的 14% 以上下降到训练有素的用户中的 2% 到 4%。
结果也因国家而异:
美国:5.9% 的受访用户被人工生成的电子邮件愚弄,而 4.5% 的用户被人工智能生成的消息愚弄。
德国:2.3%被人类欺骗,1.9%被人工智能欺骗。
瑞典:6.1%被人类欺骗,4.1%被人工智能欺骗。
当前的网络安全防御仍然可以覆盖人工智能网络钓鱼攻击
尽管人类创建的网络钓鱼电子邮件比人工智能创建的网络钓鱼电子邮件更有说服力,但这种结果是不稳定的,特别是随着 ChatGPT 和其他人工智能模型的改进。 该测试本身是在 ChatGPT 4 发布之前进行的,ChatGPT 4 有望比其前身更加强大。 人工智能工具肯定会不断发展,并对组织构成更大的威胁,因为网络犯罪分子利用它们来达到自己的恶意目的。
从好的方面来说,保护您的组织免受网络钓鱼电子邮件和其他威胁的侵害需要相同的防御和协调,无论攻击是由人类还是人工智能发起的。
Hoxhunt 首席执行官兼联合创始人米卡·阿尔托 (Mika Aalto) 表示:“ChatGPT 允许犯罪分子大规模发起措辞完美的网络钓鱼活动,虽然这消除了网络钓鱼攻击的一个关键指标——糟糕的语法,但训练有素的眼睛很容易观察到其他指标。” “在你的整体网络安全策略中,一定要关注你的员工和他们的电子邮件行为,因为这就是我们的对手使用他们的新人工智能工具所做的事情。
“通过持续培训,将安全性作为整个组织的共同责任,使用户能够发现可疑消息并奖励他们报告威胁,直到人类威胁检测成为一种习惯。”
安全提示或 IT 和用户
为此,阿尔托提供了以下建议。
用于 IT 和安全
要求所有访问敏感数据的员工进行双因素身份验证或多因素身份验证。
赋予所有员工举报可疑电子邮件的技能和信心; 这样的过程应该是无缝的。
为安全团队提供分析和处理员工威胁报告所需的资源。
对于用户
将鼠标悬停在电子邮件中的任何链接上,然后单击它。 如果链接出现错误或与消息无关,请向 IT 支持或帮助台团队报告该电子邮件可疑。
检查发件人字段,确保电子邮件地址包含合法的企业域。 如果地址指向 Gmail、Hotmail 或其他免费服务,则该邮件可能是网络钓鱼电子邮件。
在采取行动之前先与发件人确认可疑电子邮件。 使用电子邮件以外的方法就邮件联系发件人。
点击之前请深思。 社会工程网络钓鱼攻击试图制造一种虚假的紧迫感,促使收件人点击链接或尽快处理消息。
注意电子邮件的语气和语气。 目前,人工智能生成的钓鱼电子邮件都是以正式且生硬的方式编写的。
