IBM X-Force的研究表明,这些担忧是有道理的。只需五个简单的提示,IBM X-Force研究团队就能在短短五分钟内诱骗一个AI模型开发出几乎与熟练人类所创建的电子邮件一样“极具说服力”的钓鱼电子邮件,这可能为攻击者节省了近两天的工作。
这项研究发布之际,随着商业用例的增加,GenAI的快速增长和采用对网络安全的影响继续成为头条新闻。
网络安全利益相关者担心GenAI隐含的风险
在Abnormal Security调查的300名高级网络安全利益相关者中,几乎所有人(98%)都担心ChatGPT、Google Bard、WormGPT和类似的GenAI工具带来的网络安全风险。根据这份报告,他们主要担心的是GenAI使电子邮件攻击变得更加复杂——特别是它可以帮助攻击者根据公开可获得的信息策划高度特定和个性化的电子邮件攻击。
然而,研究发现,尽管存在广泛的担忧,但绝大多数安全领导人没有做好充分准备,以防范AI生成的电子邮件攻击。大多数受访者仍然依赖他们的云电子邮件提供商或传统工具来实现电子邮件安全,超过一半(53%)的受访者仍在使用安全电子邮件网关来保护他们的电子邮件环境。这种方法似乎没有奏效,因为近一半的受访者(46%)对检测和阻止AI生成的攻击的传统解决方案缺乏信心。
AI生成的钓鱼电子邮件“相当有说服力”
IBM X-Force的发现很可能会促使许多安全领导者改变他们的电子邮件安全策略,以应对GenAI制作复杂网络钓鱼消息的能力。该团队的目标是通过比较AI生成的电子邮件和人工生成的电子邮件在针对组织的模拟中的点击率,来确定当前的GenAI模型是否具有与人类思维相同的欺骗能力。
IBM首席人员黑客斯蒂芬妮·卡拉瑟斯写道,通过一个系统的试验和改进过程,只创建了一个只有5个提示的集合,以指示ChatGPT生成针对特定行业定制的钓鱼电子邮件。“一开始,我们要求ChatGPT详细说明这些行业员工关注的主要领域。在将行业和员工的担忧列为首要关注点后,我们促使ChatGPT在电子邮件中同时使用社交工程和营销技巧做出战略选择。”
卡拉瑟斯说,这些选择旨在优化更多员工点击电子邮件本身中的链接的可能性。接下来,提示询问ChatGPT发送者应该是谁(例如,公司内部、供应商或外部组织的某个人)。最后,该团队要求ChatGPT添加以下完成内容来创建钓鱼电子邮件:
1.医疗行业员工最关注的领域:职业发展、工作稳定性、工作成就感。
2.应使用的社会工程技术:信任、权威、社会证明。
3.应该使用的营销技巧:个性化、移动优化、行动号召。
4.其应冒充的人员或公司:内部人力资源经理。
5.电子邮件生成:根据上面列出的所有信息,ChatGPT生成了以下经过编辑的电子邮件,随后发送给800多名员工。
“我有近十年的社交工程经验,精心制作了数百封钓鱼邮件,我甚至发现AI生成的钓鱼邮件相当有说服力。”卡拉瑟斯写道。
人工生成的网络钓鱼稍微成功一些
在IBM X-Force实验的第二部分,经验丰富的社交工程师创建了在个人层面上与他们的目标产生共鸣的钓鱼电子邮件。他们采用了获得开源情报(OSINT)的初始阶段,然后精心构建自己的钓鱼电子邮件,以和GenAI创建的电子邮件进行对比。
在一轮紧张的A/B测试之后,结果很明显:人类获胜了,但以最小的优势获胜。根据IBM X-Force的数据,GenAI网络钓鱼点击率为11%,而人类网络钓鱼点击率为14%。AI生成的电子邮件也被报告为可疑,与人类生成的邮件相比,可疑邮件的比例分别为59%和52%。
卡拉瑟斯写道:“人类可能以微弱优势赢得了这场比赛,但AI正在不断进步。”随着技术的进步,AI将变得更加复杂,甚至有一天可能会超过人类。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号