网络安全中人是最薄弱的环节,网络安全专业人员所依赖的不是防火墙、入侵检测系统或任何其他技术优势。
为什么说网络安全中最薄弱的环节总是人呢?人们一遍又一遍地重复使用相同的密码;当需要更新软件时,也经常会拖延;人们还会不经意地点击恶意链接,帮助入侵者访问网络。
生成式人工智能的兴起可能会让这最薄弱的环节变得更加脆弱,进行员工安全意识培训是保护员工和企业免受诈骗的重要措施。
“人工智能使网络钓鱼诈骗更具欺骗性,公众也更容易受到攻击。联邦贸易委员会报告称, 2023 年,冒充诈骗窃取了超过 11 亿美元,是 2020 年冒充诈骗的三倍。这些模仿行为得到了人工智能的支持”,IEEE会员Rebecca Herold表示,“这些也是当前技术很难克服的问题。企业必须定期培训其员工和承包商,了解人工智能攻击迹象和比较新策略,以保护企业的员工、客户、知识产权和声誉。”
社会工程学
你有没有收到过一封看起来像是来自银行的电子邮件,里面充满了拼写错误,这就让你意识到了有些事情不对劲?或者税务机关的电话要求立即支付只能通过电话支付的税款?当你知道一个朋友不在那个国家时,他却在社交媒体上声称被困在国外需要钱,你怎么办?
这些都是社会工程学的形式,在某些网络攻击中经常使用。
例如,在网络钓鱼攻击中,攻击者会发送热门公司带有虚假网页链接的电子邮件,诱骗人们输入登录凭据 —— 电子邮件不一定来自这家公司。同时,这种诈骗也不一定是电子邮件。各种形式的网络钓鱼攻击可能包括短信。得益于生成式人工智能,攻击者可以通过电话模仿另一个人的声音,甚至通过视频会议模仿他们的图像。
了解目标
许多网络钓鱼活动不过是“钓鱼探险”。攻击者发送了数万封欺诈电子邮件,以期有一两个人上钩。Spear phishing涉及对特定个人或团体的有针对性的攻击。这需要提前进行大量的研究,以提高他们成功的机会。人工智能可以帮助他们了解公司中的重要关系,例如谁向谁报告,以及人们从事什么项目。
IEEE高档会员Marcio Teixeira设想攻击者以金融机构为目标。
Teixeira解释说:“攻击者可以使用人工智能来分析社交媒体和专业网站,收集职位和个人兴趣等细节。通过自然语言处理,他们可以创建模仿公司高管风格的电子邮件。这些电子邮件可能会提到最近的公司活动,并包括一个看似真实但实际虚假的公司门户网站的链接,要求提供登录详细信息。一些电子邮件还可能附加恶意软件,一旦打开,就会窃取敏感数据。人工智能会根据收件人的反应来优化这些钓鱼电子邮件,使每次新的尝试更有可能成功。”
人工智能制造更智能的网络骗局
由于非常具体的原因,使用生成式人工智能可能会使得发现网络钓鱼的方法变得更加困难。过去的网络钓鱼过程中往往充斥着拼写错误和语法错误。然而,生成式人工智能可以帮助写出语法正确的内容,避免了拼写错误。
Teixeira表示,公司可以采取一些措施来提高防御能力。他说,培训可以提供关于网络钓鱼策略和比较新的人工智能生成骗局的教育,以识别网络钓鱼的迹象,如索要金钱或敏感信息。雇主还可以采用模拟钓鱼练习来帮助员工练习识别和报告尝试。
最后,公司需要有明确的报告机制,鼓励员工立即报告可疑电子邮件。
他说:“在人工智能驱动的网络威胁日益复杂的背景下,清晰的沟通和频繁的培训是有效的安全意识计划的两个关键组成部分。”