人工智能
AI驱动的钓鱼邮件:骗子的黄金时代
生成式AI助力诈骗者发送个性化钓鱼邮件,提高成功率。本文探讨应对AI钓鱼攻击的方法。
随着生成式AI的发展,骗子们现在可以发送钓鱼邮件来消除语言障碍、实时回复,并几乎即时自动化大规模个性化的攻击活动,使伪造域名和获取敏感数据变得更加容易。当AI赋予骗子优势时,如何最有效地保护你的电子邮件系统?本文将解析AI钓鱼的最新发展。
尼日利亚王子的好日子已经过去了。
骗子不再像卖蛇油的商贩那样依赖自身的说服力和对语言及流程的理解。借助生成式AI,钓鱼者和垃圾邮件发送者现在拥有更强大的工具。可以说规则已经改变,但我们的防御是否跟上了?继续阅读,了解如何保护你的电子邮件系统免受新型攻击。
什么是AI钓鱼?
在开始讲述恐怖故事之前,让我们先搞清楚定义。AI钓鱼利用AI技术,使骗子更容易大规模实施对潜在受害者更具说服力的骗局。而且效果显著。近年来,AI简化并加剧了钓鱼手段,使骗子仅在2022年就赚取了超过20亿美元。根据网络安全公司SlashNext的数据,自2022年第四季度(大约是ChatGPT问世的时间)以来,恶意钓鱼邮件增加了1265%。
骗子如何使用AI?
AI的可用性涵盖了从AI生成的文案到免费的黑客工具,如WormGPT——一个OpenAI工具的黑暗版本,或者在暗网上提供的付费版本FraudGPT。这些工具都是没有安全保障的生成式AI,可以根据请求愉快地生成钓鱼邮件、伪造特定网站的代码或其他恶意请求。
传统钓鱼攻击是什么?
传统的钓鱼攻击通常始于一条欺骗性的消息。邮件或短信乍一看似乎来自合法来源,如你的银行或美国邮政局。为了防止你仔细核对,这些信息通常会带有紧迫感。
信息中的危险在于链接或附件,当你点击或下载时,会带你到一个伪造的网站或在你的设备上安装恶意软件。这个伪造网站或软件会收集你输入的敏感信息,如登录凭证、财务详情或个人数据。
攻击者可以利用这些被盗信息进行各种恶意行为,如身份盗用、金融欺诈或未经授权访问账户。传统的钓鱼攻击依赖于社会工程技术来欺骗个人无意中泄露机密信息。
我们需要强调的是,传统钓鱼攻击依赖于社会工程技术,而AI钓鱼攻击依赖于机器学习技术。
虽然AI钓鱼占据了大量领地,但你仍需保护自己免受普通钓鱼攻击的侵害。并非所有骗子都懂得如何利用AI……至少现在还没有。在我们的文章中了解更多关于骗子和钓鱼者的阴暗面。
什么是AI驱动的钓鱼攻击?
AI钓鱼攻击利用人工智能使钓鱼邮件更具说服力和个性化。恶意行为者可以使用AI算法分析大量关于目标群体的数据,如社交媒体资料、在线行为和公开可用的信息,从而创建个性化的攻击活动。
钓鱼邮件甚至可以包含熟悉的元素,如提及用户最近的购买、兴趣或互动。这种个性化水平增加了成功的可能性。AI还可以轻松生成逼真的合法网站副本,使接收者难以区分真假网站。
AI钓鱼基于一系列原则,这些原则构建了一个无限的可能性画面。
AI钓鱼的四大支柱
AI钓鱼是一种黑暗的营销,是在没有合法发件人操作的伦理和立法的情况下可能发生的事情。虽然基本过程相似,但没有边界。使用像WormGPT这样的工具可能是这样的:
1. 数据分析:攻击者使用算法和工具如WormGPT在互联网上搜刮大量关于目标群体或个人的数据。这包括社交媒体资料、公开记录和在线活动。WormGPT可以分析这些数据以了解目标的兴趣、行为和偏好。
2. 个性化:通过收集的数据,AI生成高度个性化的钓鱼邮件。这些邮件可能提及最近的购买、爱好或目标生活中的特定事件。这种个性化水平使邮件看起来更合法,提高了受害者上当的可能性。
3. 内容创作:然后,AI用于生成模仿目标联系人或已知机构的写作风格的可信邮件内容。这有助于创建一种熟悉和信任感,克服语言障碍造成的任何障碍。
4. 规模和自动化:最后,AI使攻击者能够有效地扩大操作规模。他们可以在短时间内生成大量独特的钓鱼邮件,并使用AI瞄准广泛的个人或组织,同时还使用AI生成代码、协助触发自动化和设置webhooks和集成。
IBM的5/5规则
AI生成输出比人类快。结束。我们可以辩论(并且在其他文章中已经辩论过)输出的质量和最佳用途,但骗子不会停下来进行这种对话。
IBM的一组工程师最近与AI进行了一场创建钓鱼活动的比赛。他们发现AI在极短的时间内表现更好。由此产生了5/5规则。
5/5规则表明,只需5个提示和5分钟,就可以创建一个几乎与IBM工程师创建的钓鱼活动一样成功的钓鱼活动。人类技术专家需要16小时的时间,生成式AI只用了5分钟——AI工具将迭代变得更快、更高效,可能是成倍增长的。人类有其局限。
IBM设定的五个提示:
1. 列出[特定行业]中[特定群体]的关注点。
2. 撰写一封利用社会工程技术的邮件。
3. 将常见的营销技术应用于邮件。
4. 我们应该向谁发送邮件?
5. 我们应该说邮件来自谁?
AI钓鱼的例子
2024年已经发生了一些重大的AI钓鱼攻击。一些更像传统的钓鱼攻击,一些则是非常昂贵的深度伪造。
AI深度伪造
2024年初的这个新闻故事因其巨大的损失和视频AI工具完全说服一家总部位于中国的跨国公司财务员工释放巨额资金而臭名昭著。该员工是AI深度伪造的目标,坏人成功地在视频会议上伪装成公司的CFO和其他领导人,损失金额高达2500万美元。
我们以这个例子开始是因为它说明了两个非常重要的点:
AI在深度伪造方面非常强大,不仅是视频,还有文字、伪造网站、电话和短信。
说明了公司内部教育识别和防止这种新水平攻击的重要性。
事实上,AI钓鱼骗局不必如此复杂才能奏效。让我们玩个快速游戏:
你收到以下邮件:
主题:需要重置您的账户密码
亲爱的[姓名],
我们检测到您的账户可能存在未经授权的访问,为了预防,我们正在重置您的密码。
请使用此链接创建新密码。
我们的团队努力确保您的账户和信息安全。如有任何问题,请回复此邮件,我们的团队成员会为您提供帮助。
此致,贵公司的支持团队
这听起来真实吗?如果是的话,你点击链接,页面看起来像是真实的组织。这看起来真实是因为有AI工具可以轻松复制网页设计和代码。
所以,让我们回顾一下:邮件中没有任何奇怪的措辞或语法错误。实际上,它甚至邀请你联系(如果你这样做,会有一个AI支持的聊天机器人准备回答你),网站看起来真实,你最终会遇到一些不显眼的表单字段,它们正等待捕获你的凭证。我们使用ChatGPT大约花了20秒生成这个。
你会上当吗?如果被伪造的域名是一个内部工具,你的任何员工会上当吗?你会检查域名吗?你会检查发件人地址吗?你现在是否命中注定要对每封收到的邮件进行尽职调查?
如何保护自己和你的组织
现在是价值数十亿美元的问题(确切地说是超过20亿美元):你能做些什么来保护你的组织和电子邮件系统免受这种新型钓鱼攻击的侵害?
作为发件人,你有两个目标要防守。你自己的声誉和安全,以及你客户的安全和数据保护。唯一存在的电子邮件防御是DMARC。
在我们深入探讨最佳实践之前,先来看一下在AI时代DMARC的动态。
DMARC的演变
DMARC(基于域的消息认证、报告和一致性)从诞生到实施经历了不少历程。令人惊讶的是,采用率一直很低。也许是因为这个过程比其他标准认证更技术性。也许是因为相关成本。不管怎样,DMARC不会消失。以下是迄今为止的旅程:
2007-2008年:随着电子邮件钓鱼攻击变得更复杂,人们认识到需要更强大的电子邮件认证系统。SPF(发件人策略框架)和DKIM(域密钥识别邮件)已经在使用中,以帮助验证电子邮件发件人的真实性,但它们有局限性。
2011年:包括Google、Microsoft、Yahoo和PayPal在内的一组公司合作开发了一种新标准,以解决SPF和DKIM的局限性。这种合作促成了DMARC的发展。
2012年:DMARC于2012年1月发布。它提供了一种方式,让电子邮件发件人定义他们的电子邮件应该如何进行认证和处理,如果认证失败的话。
2018年:国土安全部要求所有联邦机构在2018年10月前实施DMARC,以帮助减轻组织邮件的非法使用。
2018-2023年:DMARC的采用率并没有它的创作者希望的那么广泛。没有广泛的采用,执行DMARC策略对提供者来说是有问题的。根据Spamresource的数据,到2023年底,在前1000万个域名中,只有大约123万个域名正在使用DMARC记录。这种情况会改变。
2024年:2023年10月,Gmail和Yahoo宣布他们将强制执行一些严格的发件人要求,以帮助重新控制收件箱标准并保护用户和发件人。一个要求是实施DMARC,最低策略为p=none。这种责任转移将有助于恢复收件箱的平衡。
了解更多关于Gmail和Yahoo发件人要求的信息,请查看我们与Gmail和Yahoo的炉边谈话中的关键要点。
识别AI钓鱼尝试
好了,现在我们已经完成了DMARC的绕道,让我们回到钓鱼。虽然DMARC是主要防御,但还有其他最佳实践可以帮助你制定全面的战斗策略。
第一步是学习标志。我们不能再依靠糟糕的语法和失败的个性化来识别骗局。识别AI钓鱼尝试需要转变视角。事实上,鉴于AI发展的速度和整合,这是你应该磨练的技能。
像糟糕的语法和不合适的句子结构这样的通常标志不再适用。现在,第一步应该是直接验证来源。近似域名(也称为相似域名)仍然可以注册为合法域名,但名称不完全相同。检查URL和域名是否与实际公司域名一致。如果是未知发件人,最好将邮件标记为内部公司安全团队或在邮箱提供商中将其报告为垃圾邮件。
DMARC无法防御近似域名,因为它只保护创建DMARC策略的域名。语法不再是骗子的明显标志,因此你必须警惕验证收到邮件中使用的域名。
实施多层次安全
AI钓鱼真的是智能的。无论你是否认为AI是或可以是有意识的,它确实具有“思考”的能力,并根据收集的数据进行迭代。机器学习过程现在可以自动化,以系统地寻找入口点。保护你的组织和数据资产需要强大的防火墙、最新的防病毒软件和持续的员工教育培训。
发件人声誉的重要性
钓鱼不仅是安全威胁,也是声誉威胁。像Gmail和Yahoo这样的邮箱提供商正在通过强制执行批量发件人要求,包括实施DMARC来为未来做准备,这将极大地帮助防御伪造域名和品牌的钓鱼骗局。
DMARC是邮箱提供商保护用户免受复杂电子邮件钓鱼尝试的最佳防御。当组织发送电子邮件时,DMARC只有在设置和执行规范时才有效。
如果DMARC到位,接收服务器将根据发送者设定的框架和策略对消息进行认证。伪造的域名将被指示从收件箱中拒绝或隔离(取决于你的DMARC策略),并报告回你,即合法的发送者。