凡事都是相生相克,生成式AI的流行,例如ChatGPT、Bard、Claude等 让人们可以在法律的框架内提高生成效率。但黑暗版的AI工具也诞生了。一款专为网络犯罪分子用来发起商业电子邮件泄露攻击的生成式人工智能工具。
根据网络安全公司 SlashNext 报道,人工智能(AI)技术的进步,如OpenAI的ChatGPT,引入了商业电子邮件妥协(BEC)攻击的新方式。ChatGPT是一种复杂的AI模型,根据输入生成类似人类的文本。网络犯罪分子可以利用这种技术自动创建高度逼真的虚假电子邮件,并针对收件人进行个性化处理,从而增加攻击成功的几率。
考虑上面的第一张图像,其中一个最近在网络犯罪论坛上展开的讨论线程。在这个对话中,一个网络犯罪分子展示了利用生成AI来完善电子邮件,该邮件可以用于钓鱼或BEC攻击的潜力。他们建议用自己的母语撰写邮件,然后翻译它,并将其输入到类似ChatGPT的界面中,以增强其复杂性和正式性。这种方法带来一个明显的影响:即使缺乏特定语言流利程度,攻击者现在比以往任何时候都更有能力制造出具有说服力的用于钓鱼或BEC攻击的邮件。
转到上面的第二张图像,我们现在在论坛上看到网络犯罪分子之间出现了一个令人不安的趋势,这在讨论线程中很明显,这些“破解”是面向诸如ChatGPT之类界面的专门提示。这些“破解”越来越常见。它们是指精心设计的输入,旨在操纵类似ChatGPT的界面,以产生可能涉及泄露敏感信息、生成不当内容甚至执行有害代码的输出。这种做法的普及凸显了面对决心坚决的网络犯罪分子时,在维护AI安全方面日益增加的挑战。
最后,在上面的第三张图像中,我们看到恶意行为者现在正在创建自己的类似ChatGPT的自定义模块,但更容易用于邪恶目的。他们不仅在创建这些自定义模块,还向其他坏人进行宣传。这显示了由于这些在AI塑造的世界中的活动的日益复杂性和适应性,网络安全正变得更具挑战性。
揭示WormGPT:一个网络犯罪分子的武器库
我们最近通过一个常与网络犯罪有关的知名在线论坛获得了一款名为“WormGPT”的工具。该工具自称是针对恶意活动的GPT模型的黑帽替代品。
WormGPT是基于GPTJ语言模型开发的AI模块,该模型是在2021年开发的。它拥有一系列功能,包括无限字符支持,聊天记忆保留和代码格式化功能。
如上图所示,据称WormGPT是根据各种数据源进行训练的,特别关注与恶意软件相关的数据。然而,训练过程中使用的具体数据集仍然保密,由该工具的作者决定。
如图所示,我们进行了重点关注BEC攻击的测试,以全面评估WormGPT相关的潜在危险。在一个实验中,我们指示WormGPT生成一封电子邮件,旨在迫使一个毫不知情的账户经理支付一张欺诈性发票。
结果令人不安。WormGPT生成了一封不仅令人印象深刻,而且策略性很狡猾的电子邮件,展示了其用于复杂钓鱼和BEC攻击的潜力。
总结来说,WormGPT类似于ChatGPT,但没有道德约束或限制。这个实验强调了像WormGPT这样的生成AI技术在新手网络犯罪分子手中构成的巨大威胁。
使用生成AI进行BEC攻击的好处
那么,使用生成AI进行BEC攻击有哪些具体优势?
出色的语法:生成AI可以创建具有完美语法的电子邮件,使其看起来合法,并降低被标记为可疑的可能性。
降低的入门门槛:使用生成AI降低了执行复杂BEC攻击的门槛。即使技能有限的攻击者也可以使用这种技术,使其成为更广泛的网络犯罪分子的可行工具。
防范AI驱动的BEC攻击的方法
总之,AI的发展虽然有益,但也带来了新的攻击手段。实施强有力的预防措施至关重要。以下是一些您可以采取的策略:
BEC专用培训:公司应制定广泛的、定期更新的培训计划,以应对BEC攻击,特别是那些通过AI增强的攻击。此类计划应教育员工有关BEC威胁的性质,AI在其中的使用方式以及攻击者使用的策略。此培训还应作为员工职业发展的持续组成部分纳入。
增强的电子邮件验证措施:为了防范AI驱动的BEC攻击,组织应实施严格的电子邮件验证流程。这包括实施系统,在外部伪装成内部高管或供应商的电子邮件时自动发出警报,并使用标记包含与BEC攻击相关的特定关键词(如“紧急”,“敏感”或“电汇”)的电子邮件系统。这些措施确保在采取任何行动之前对潜在恶意电子邮件进行彻底检查。
