近日,来自新加坡的研究人员开展了一项实验,他们成功利用人工智能和相关API来制作令人信服的鱼叉式网络钓鱼电子邮件,而无需人工干预,该实验可验证攻击者未来可能采取的攻击策略。
来自GTA(新加坡政府技术局)的研究人员设计了上述网络钓鱼流程管道,用自动化的人工智能服务取代了传统的手动步骤,允许恶意攻击者以更少的人力开发新的活动。然后,他们将手动创建的和人工智能创建的网络钓鱼电子邮件发送给志愿测试对象,以查看哪种更有效。
GTA的网络安全副专家Eugene Lin在上周的Black Hat会议上表示:“对于参与这项研究的志愿者的测试显示,人工智能管道在三分之二的测试中显着优于手动工作流程。当我们添加个性化设置时,人工智能管道表现得更好,在第一次的个性化设置测试中达到了高达60%的点击率。”
此外,研究人员发现人工智能管道测试中,测试对象点击链接,甚至包括填写表单字段方面都非常有效,转化率高达 80%。
研究人员的调查显示,现实生活中攻击者可能会滥用各种人工智能工具。为了对志愿网络钓鱼目标进行测试,研究人员利用了Humantic AI,一项基于公开信息(如LinkedIn个人资料)为求职者提供个性和行为洞察力的服务。这使他们能够执行网络钓鱼上下文生成,从而获得有关如何接近目标的说明。
“我们将Humantic API输出传递为纯文本指令,描述目标以及如何接近它们。”Lin指出:“Humantic AI只是众多销售和招聘个性化API中的一个,作为一项对外开放的服务,任何人都可以立即注册API,许多公司都可以获得免费演示。因此,在现实情况下,这些公司都可以对其改编以使用我们的钓鱼邮件管道。”
然而,目前的人工智能管道并不完美,仍然需要一些人工编辑。尽管如此,在人工智能管道生成的鱼叉式网络钓鱼电子邮件中校订这些问题,比网络犯罪分子纯手工制作要省事得多。
众所周知,鱼叉式网络钓鱼面临问题在于,创建可信度极高的网络钓鱼电子邮件需要大量时间和创造力。研究人员还试图使用GPT-3解决这个问题:
研究人员将OpenAI的GPT-3平台与其他专注于个性分析的人工智能即服务产品结合使用,以生成适合潜在受害者工作背景和特征的网络钓鱼电子邮件。专注于人格分析的机器学习旨在根据行为输入预测一个人的倾向和心态。通过多个服务运行输出,研究人员能够开发一个管道,在发送之前整理和完善电子邮件。研究人员表示,上述结果听起来“非常人性化”,并且这些平台自动提供了令人惊讶的细节,例如在指示为居住在新加坡的人生成内容时提到了新加坡法律。
虽然测试者对合成信息的质量以及对信息的点击次数,与人工合成信息的点击次数的对比结果令人印象深刻,但研究人员指出,该实验只是第一步。样本量相对较小,目标库在就业和地理区域方面相当同质。此外,人工生成的消息和AI即服务管道生成的消息都是由办公室内部人员创建的,而不是外部攻击者。
一位安全业界专家指出,这种方法投入实际应用只是时间问题。攻击者如果将其与语音和视频合成(深度伪造)相结合,将会产生非常可怕的场景和后果。真正的风险不在于人工智能生成的网络钓鱼电子邮件与人工生成的一样好,而是这种生成规模会更加庞大。
“人工智能管道通过节省人力和时间,加快了我们的运营速度,从而带来了质的改进。”Lin还表示:“对于上下文和内容生成,集成AI有助于简化和标准化操作。输入和输出不再取决于单个操作员的技能组合和倾向。”最后,Lin指出还可以将他们的基础设施与其他现有工具(例如Gophish开源网络钓鱼框架)集成:“这突显了人工智能即服务如何从开源语言模型中提高可访问性。”
GTA的网络安全副专家Timothy Lee 表示,提供人工智能即服务产品的公司必须作为第一道防线,制定使用条款和筛选指南,以阻止误用和滥用。此外,他建议解决方案供应商确保对其产品的使用情况进行审核和跟踪。与此同时,企业可能需要进一步加强反网络钓鱼培训,并将其作为企业安全意识规划的重要部分。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】