近日，來自新加坡的研究人員開展了一項(xiàng)實(shí)驗(yàn)，他們成功利用人工智能和相關(guān)API來制作令人信服的魚叉式網(wǎng)絡(luò)釣魚電子郵件，而無需人工干預(yù)，該實(shí)驗(yàn)可驗(yàn)證攻擊者未來可能采取的攻擊策略。

來自GTA(新加坡政府技術(shù)局)的研究人員設(shè)計(jì)了上述網(wǎng)絡(luò)釣魚流程管道，用自動化的人工智能服務(wù)取代了傳統(tǒng)的手動步驟，允許惡意攻擊者以更少的人力開發(fā)新的活動。然后，他們將手動創(chuàng)建的和人工智能創(chuàng)建的網(wǎng)絡(luò)釣魚電子郵件發(fā)送給志愿測試對象，以查看哪種更有效。

[[417886]]

GTA的網(wǎng)絡(luò)安全副專家Eugene Lin在上周的Black Hat會議上表示：“對于參與這項(xiàng)研究的志愿者的測試顯示，人工智能管道在三分之二的測試中顯著優(yōu)于手動工作流程。當(dāng)我們添加個(gè)性化設(shè)置時(shí)，人工智能管道表現(xiàn)得更好，在第一次的個(gè)性化設(shè)置測試中達(dá)到了高達(dá)60%的點(diǎn)擊率。”

此外，研究人員發(fā)現(xiàn)人工智能管道測試中，測試對象點(diǎn)擊鏈接，甚至包括填寫表單字段方面都非常有效，轉(zhuǎn)化率高達(dá) 80%。

研究人員的調(diào)查顯示，現(xiàn)實(shí)生活中攻擊者可能會濫用各種人工智能工具。為了對志愿網(wǎng)絡(luò)釣魚目標(biāo)進(jìn)行測試，研究人員利用了Humantic AI，一項(xiàng)基于公開信息(如LinkedIn個(gè)人資料)為求職者提供個(gè)性和行為洞察力的服務(wù)。這使他們能夠執(zhí)行網(wǎng)絡(luò)釣魚上下文生成，從而獲得有關(guān)如何接近目標(biāo)的說明。

“我們將Humantic API輸出傳遞為純文本指令，描述目標(biāo)以及如何接近它們。”Lin指出：“Humantic AI只是眾多銷售和招聘個(gè)性化API中的一個(gè)，作為一項(xiàng)對外開放的服務(wù)，任何人都可以立即注冊API，許多公司都可以獲得免費(fèi)演示。因此，在現(xiàn)實(shí)情況下，這些公司都可以對其改編以使用我們的釣魚郵件管道。”

然而，目前的人工智能管道并不完美，仍然需要一些人工編輯。盡管如此，在人工智能管道生成的魚叉式網(wǎng)絡(luò)釣魚電子郵件中校訂這些問題，比網(wǎng)絡(luò)犯罪分子純手工制作要省事得多。

眾所周知，魚叉式網(wǎng)絡(luò)釣魚面臨問題在于，創(chuàng)建可信度極高的網(wǎng)絡(luò)釣魚電子郵件需要大量時(shí)間和創(chuàng)造力。研究人員還試圖使用GPT-3解決這個(gè)問題：

研究人員將OpenAI的GPT-3平臺與其他專注于個(gè)性分析的人工智能即服務(wù)產(chǎn)品結(jié)合使用，以生成適合潛在受害者工作背景和特征的網(wǎng)絡(luò)釣魚電子郵件。專注于人格分析的機(jī)器學(xué)習(xí)旨在根據(jù)行為輸入預(yù)測一個(gè)人的傾向和心態(tài)。通過多個(gè)服務(wù)運(yùn)行輸出，研究人員能夠開發(fā)一個(gè)管道，在發(fā)送之前整理和完善電子郵件。研究人員表示，上述結(jié)果聽起來“非常人性化”，并且這些平臺自動提供了令人驚訝的細(xì)節(jié)，例如在指示為居住在新加坡的人生成內(nèi)容時(shí)提到了新加坡法律。

雖然測試者對合成信息的質(zhì)量以及對信息的點(diǎn)擊次數(shù)，與人工合成信息的點(diǎn)擊次數(shù)的對比結(jié)果令人印象深刻，但研究人員指出，該實(shí)驗(yàn)只是第一步。樣本量相對較小，目標(biāo)庫在就業(yè)和地理區(qū)域方面相當(dāng)同質(zhì)。此外，人工生成的消息和AI即服務(wù)管道生成的消息都是由辦公室內(nèi)部人員創(chuàng)建的，而不是外部攻擊者。

一位安全業(yè)界專家指出，這種方法投入實(shí)際應(yīng)用只是時(shí)間問題。攻擊者如果將其與語音和視頻合成(深度偽造)相結(jié)合，將會產(chǎn)生非?？膳碌膱鼍昂秃蠊Ｕ嬲娘L(fēng)險(xiǎn)不在于人工智能生成的網(wǎng)絡(luò)釣魚電子郵件與人工生成的一樣好，而是這種生成規(guī)模會更加龐大。

“人工智能管道通過節(jié)省人力和時(shí)間，加快了我們的運(yùn)營速度，從而帶來了質(zhì)的改進(jìn)。”Lin還表示：“對于上下文和內(nèi)容生成，集成AI有助于簡化和標(biāo)準(zhǔn)化操作。輸入和輸出不再取決于單個(gè)操作員的技能組合和傾向。”最后，Lin指出還可以將他們的基礎(chǔ)設(shè)施與其他現(xiàn)有工具(例如Gophish開源網(wǎng)絡(luò)釣魚框架)集成：“這突顯了人工智能即服務(wù)如何從開源語言模型中提高可訪問性。”

GTA的網(wǎng)絡(luò)安全副專家Timothy Lee 表示，提供人工智能即服務(wù)產(chǎn)品的公司必須作為第一道防線，制定使用條款和篩選指南，以阻止誤用和濫用。此外，他建議解決方案供應(yīng)商確保對其產(chǎn)品的使用情況進(jìn)行審核和跟蹤。與此同時(shí)，企業(yè)可能需要進(jìn)一步加強(qiáng)反網(wǎng)絡(luò)釣魚培訓(xùn)，并將其作為企業(yè)安全意識規(guī)劃的重要部分。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文