近日,来自新加坡的研究人员进行了一项实验,他们成功地利用人工智能和相关API,在无人干预的情况下制作出令人信服的鱼叉式钓鱼邮件,该实验可以验证攻击者的攻击策略。攻击者可能会在未来采用。GTA(新加坡政府技术局)的研究人员设计了上述网络钓鱼管道,用自动化的人工智能服务取代传统的手动步骤,让恶意攻击者能够以更少的人力开发新的活动。然后,他们将手动创建和人工智能创建的网络钓鱼电子邮件发送给志愿者测试对象,看看哪个更有效。GTA副网络安全专家EugeneLin在上周的黑帽会议上表示:“对参与这项研究的志愿者进行的测试表明,在三分之二的测试中,AI管道的性能明显优于手动工作流程。当我们添加个性化方面,AIpipeline的表现更加出色,在第一次个性化测试中实现了高达60%的点击率。”此外,研究人员发现,在AI管道测试中,测试对象点击链接,甚至填写表单字段都非常有效,转化率高达80%。研究人员的调查表明,现实生活中的攻击者可能滥用各种人工智能工具。为了测试志愿者网络钓鱼目标,研究人员利用了HumanticAI,这是一种服务,可根据公开可用的信息(例如LinkedIn个人资料)为求职者提供个性和行为洞察力。这使他们能够执行网络钓鱼上下文生成,从而获取有关如何接近目标的说明。“我们将HumanticAPI输出作为描述目标以及如何接近目标的纯文本指令传递。”Lin指出:“HumanticAI只是众多销售和招聘个性化API之一,并且作为开放服务,任何人都可以立即注册API,许多公司可以获得免费演示。因此,在现实场景中,这些公司都可以对其进行调整以使用我们的网络钓鱼管道。”然而,目前的人工智能管道并不完美,仍然需要一些人力。编辑。尽管如此,在由AI管道生成的鱼叉式网络钓鱼电子邮件中编辑这些问题远比网络犯罪分子手动完成这一切麻烦得多。鱼叉式网络钓鱼的一个众所周知的问题是,创建高度可信的网络钓鱼电子邮件需要花费大量时间和创造力。研究人员还尝试使用GPT-3解决这个问题:研究人员将OpenAI的GPT-3平台与其他专注于个性分析的AI即服务产品相结合,以生成针对潜在受害者的工作背景和特征量身定制的网络钓鱼电子邮件。邮件。专注于性格分析的机器学习旨在根据行为输入预测一个人的倾向和心态。通过多种服务运行输出,研究人员能够开发一个管道,在发送电子邮件之前对电子邮件进行整理和润色。研究人员表示,结果听起来“非常人性化”,而且平台会自动提供令人惊讶的细节,例如在指示为居住在新加坡的人生成内容时提及新加坡法律。虽然测试人员对合成消息质量的评估结果以及与合成消息点击次数相比的消息点击次数令人印象深刻,但研究人员指出,该实验只是第一步。样本量相对较小,目标池在就业和地理区域方面相当同质。此外,人工生成的消息和人工智能即服务管道生成的消息都是由办公室内部人员创建的,而不是由外部攻击者创建的。一位安防行业专家指出,这种方法投入实际使用只是时间问题。如果攻击者将其与语音和视频合成(deepfakes)结合起来,它可能会造成非常可怕的场景和后果。真正的风险不是人工智能生成的网络钓鱼电子邮件与人工生成的一样好,而是它们的生成规模要大得多。“AI流水线通过节省人力和时间,加快我们的运营速度,带来了质的提升。”Lin还表示:“对于上下文和内容生成,集成AI有助于简化和标准化操作。输入和输出不再依赖于单个操作员的技能和倾向。”最后,Lin指出,还可以将他们的基础设施与其他现有工具集成,例如Gophish开源网络钓鱼框架:“这突出了AI即服务如何从提高开源语言模型的可访问性。“GTA副网络安全专家TimothyLee表示,提供人工智能即服务产品的公司必须成为第一道防线,制定使用条款和筛选指南以阻止误用和滥用。此外,他建议解决方案提供商确保对其产品的使用情况进行审计和跟踪。同时,组织可能需要进一步加强反钓鱼培训,将其作为企业安全意识规??划的重要内容。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
