AI驅(qū)動的釣魚郵件：騙子的黃金時代

生成式AI助力詐騙者發(fā)送個性化釣魚郵件，提高成功率。本文探討應(yīng)對AI釣魚攻擊的方法。

隨著生成式AI的發(fā)展，騙子們現(xiàn)在可以發(fā)送釣魚郵件來消除語言障礙、實時回復(fù)，并幾乎即時自動化大規(guī)模個性化的攻擊活動，使偽造域名和獲取敏感數(shù)據(jù)變得更加容易。當(dāng)AI賦予騙子優(yōu)勢時，如何最有效地保護你的電子郵件系統(tǒng)？本文將解析AI釣魚的最新發(fā)展。

尼日利亞王子的好日子已經(jīng)過去了。

騙子不再像賣蛇油的商販那樣依賴自身的說服力和對語言及流程的理解。借助生成式AI，釣魚者和垃圾郵件發(fā)送者現(xiàn)在擁有更強大的工具?？梢哉f規(guī)則已經(jīng)改變，但我們的防御是否跟上了？繼續(xù)閱讀，了解如何保護你的電子郵件系統(tǒng)免受新型攻擊。
什么是AI釣魚？

在開始講述恐怖故事之前，讓我們先搞清楚定義。AI釣魚利用AI技術(shù)，使騙子更容易大規(guī)模實施對潛在受害者更具說服力的騙局。而且效果顯著。近年來，AI簡化并加劇了釣魚手段，使騙子僅在2022年就賺取了超過20億美元。根據(jù)網(wǎng)絡(luò)安全公司SlashNext的數(shù)據(jù)，自2022年第四季度(大約是ChatGPT問世的時間)以來，惡意釣魚郵件增加了1265%。

騙子如何使用AI？

AI的可用性涵蓋了從AI生成的文案到免費的黑客工具，如WormGPT——一個OpenAI工具的黑暗版本，或者在暗網(wǎng)上提供的付費版本FraudGPT。這些工具都是沒有安全保障的生成式AI，可以根據(jù)請求愉快地生成釣魚郵件、偽造特定網(wǎng)站的代碼或其他惡意請求。

傳統(tǒng)釣魚攻擊是什么？

傳統(tǒng)的釣魚攻擊通常始于一條欺騙性的消息。郵件或短信乍一看似乎來自合法來源，如你的銀行或美國郵政局。為了防止你仔細核對，這些信息通常會帶有緊迫感。

信息中的危險在于鏈接或附件，當(dāng)你點擊或下載時，會帶你到一個偽造的網(wǎng)站或在你的設(shè)備上安裝惡意軟件。這個偽造網(wǎng)站或軟件會收集你輸入的敏感信息，如登錄憑證、財務(wù)詳情或個人數(shù)據(jù)。

攻擊者可以利用這些被盜信息進行各種惡意行為，如身份盜用、金融欺詐或未經(jīng)授權(quán)訪問賬戶。傳統(tǒng)的釣魚攻擊依賴于社會工程技術(shù)來欺騙個人無意中泄露機密信息。

我們需要強調(diào)的是，傳統(tǒng)釣魚攻擊依賴于社會工程技術(shù)，而AI釣魚攻擊依賴于機器學(xué)習(xí)技術(shù)。

雖然AI釣魚占據(jù)了大量領(lǐng)地，但你仍需保護自己免受普通釣魚攻擊的侵害。并非所有騙子都懂得如何利用AI……至少現(xiàn)在還沒有。在我們的文章中了解更多關(guān)于騙子和釣魚者的陰暗面。

什么是AI驅(qū)動的釣魚攻擊？

AI釣魚攻擊利用人工智能使釣魚郵件更具說服力和個性化。惡意行為者可以使用AI算法分析大量關(guān)于目標群體的數(shù)據(jù)，如社交媒體資料、在線行為和公開可用的信息，從而創(chuàng)建個性化的攻擊活動。

釣魚郵件甚至可以包含熟悉的元素，如提及用戶最近的購買、興趣或互動。這種個性化水平增加了成功的可能性。AI還可以輕松生成逼真的合法網(wǎng)站副本，使接收者難以區(qū)分真假網(wǎng)站。

AI釣魚基于一系列原則，這些原則構(gòu)建了一個無限的可能性畫面。

AI釣魚的四大支柱

AI釣魚是一種黑暗的營銷，是在沒有合法發(fā)件人操作的倫理和立法的情況下可能發(fā)生的事情。雖然基本過程相似，但沒有邊界。使用像WormGPT這樣的工具可能是這樣的：

1. 數(shù)據(jù)分析：攻擊者使用算法和工具如WormGPT在互聯(lián)網(wǎng)上搜刮大量關(guān)于目標群體或個人的數(shù)據(jù)。這包括社交媒體資料、公開記錄和在線活動。WormGPT可以分析這些數(shù)據(jù)以了解目標的興趣、行為和偏好。

2. 個性化：通過收集的數(shù)據(jù)，AI生成高度個性化的釣魚郵件。這些郵件可能提及最近的購買、愛好或目標生活中的特定事件。這種個性化水平使郵件看起來更合法，提高了受害者上當(dāng)?shù)目赡苄浴?/p>

3. 內(nèi)容創(chuàng)作：然后，AI用于生成模仿目標聯(lián)系人或已知機構(gòu)的寫作風(fēng)格的可信郵件內(nèi)容。這有助于創(chuàng)建一種熟悉和信任感，克服語言障礙造成的任何障礙。

4. 規(guī)模和自動化：最后，AI使攻擊者能夠有效地擴大操作規(guī)模。他們可以在短時間內(nèi)生成大量獨特的釣魚郵件，并使用AI瞄準廣泛的個人或組織，同時還使用AI生成代碼、協(xié)助觸發(fā)自動化和設(shè)置webhooks和集成。

IBM的5/5規(guī)則

AI生成輸出比人類快。結(jié)束。我們可以辯論(并且在其他文章中已經(jīng)辯論過)輸出的質(zhì)量和最佳用途，但騙子不會停下來進行這種對話。

IBM的一組工程師最近與AI進行了一場創(chuàng)建釣魚活動的比賽。他們發(fā)現(xiàn)AI在極短的時間內(nèi)表現(xiàn)更好。由此產(chǎn)生了5/5規(guī)則。

5/5規(guī)則表明，只需5個提示和5分鐘，就可以創(chuàng)建一個幾乎與IBM工程師創(chuàng)建的釣魚活動一樣成功的釣魚活動。人類技術(shù)專家需要16小時的時間，生成式AI只用了5分鐘——AI工具將迭代變得更快、更高效，可能是成倍增長的。人類有其局限。

IBM設(shè)定的五個提示：

1. 列出[特定行業(yè)]中[特定群體]的關(guān)注點。

2. 撰寫一封利用社會工程技術(shù)的郵件。

3. 將常見的營銷技術(shù)應(yīng)用于郵件。

4. 我們應(yīng)該向誰發(fā)送郵件？

5. 我們應(yīng)該說郵件來自誰？

AI釣魚的例子

2024年已經(jīng)發(fā)生了一些重大的AI釣魚攻擊。一些更像傳統(tǒng)的釣魚攻擊，一些則是非常昂貴的深度偽造。
AI深度偽造

2024年初的這個新聞故事因其巨大的損失和視頻AI工具完全說服一家總部位于中國的跨國公司財務(wù)員工釋放巨額資金而臭名昭著。該員工是AI深度偽造的目標，壞人成功地在視頻會議上偽裝成公司的CFO和其他領(lǐng)導(dǎo)人，損失金額高達2500萬美元。

我們以這個例子開始是因為它說明了兩個非常重要的點：

AI在深度偽造方面非常強大，不僅是視頻，還有文字、偽造網(wǎng)站、電話和短信。

說明了公司內(nèi)部教育識別和防止這種新水平攻擊的重要性。

事實上，AI釣魚騙局不必如此復(fù)雜才能奏效。讓我們玩?zhèn)€快速游戲：

你收到以下郵件：

主題：需要重置您的賬戶密碼

親愛的[姓名]，

我們檢測到您的賬戶可能存在未經(jīng)授權(quán)的訪問，為了預(yù)防，我們正在重置您的密碼。

請使用此鏈接創(chuàng)建新密碼。

我們的團隊努力確保您的賬戶和信息安全。如有任何問題，請回復(fù)此郵件，我們的團隊成員會為您提供幫助。

此致，貴公司的支持團隊

這聽起來真實嗎？如果是的話，你點擊鏈接，頁面看起來像是真實的組織。這看起來真實是因為有AI工具可以輕松復(fù)制網(wǎng)頁設(shè)計和代碼。

所以，讓我們回顧一下：郵件中沒有任何奇怪的措辭或語法錯誤。實際上，它甚至邀請你聯(lián)系(如果你這樣做，會有一個AI支持的聊天機器人準備回答你)，網(wǎng)站看起來真實，你最終會遇到一些不顯眼的表單字段，它們正等待捕獲你的憑證。我們使用ChatGPT大約花了20秒生成這個。

你會上當(dāng)嗎？如果被偽造的域名是一個內(nèi)部工具，你的任何員工會上當(dāng)嗎？你會檢查域名嗎？你會檢查發(fā)件人地址嗎？你現(xiàn)在是否命中注定要對每封收到的郵件進行盡職調(diào)查？

如何保護自己和你的組織

現(xiàn)在是價值數(shù)十億美元的問題(確切地說是超過20億美元)：你能做些什么來保護你的組織和電子郵件系統(tǒng)免受這種新型釣魚攻擊的侵害？

作為發(fā)件人，你有兩個目標要防守。你自己的聲譽和安全，以及你客戶的安全和數(shù)據(jù)保護。唯一存在的電子郵件防御是DMARC。

在我們深入探討最佳實踐之前，先來看一下在AI時代DMARC的動態(tài)。

DMARC的演變

DMARC(基于域的消息認證、報告和一致性)從誕生到實施經(jīng)歷了不少歷程。令人驚訝的是，采用率一直很低。也許是因為這個過程比其他標準認證更技術(shù)性。也許是因為相關(guān)成本。不管怎樣，DMARC不會消失。以下是迄今為止的旅程：

2007-2008年：隨著電子郵件釣魚攻擊變得更復(fù)雜，人們認識到需要更強大的電子郵件認證系統(tǒng)。SPF(發(fā)件人策略框架)和DKIM(域密鑰識別郵件)已經(jīng)在使用中，以幫助驗證電子郵件發(fā)件人的真實性，但它們有局限性。

2011年：包括Google、Microsoft、Yahoo和PayPal在內(nèi)的一組公司合作開發(fā)了一種新標準，以解決SPF和DKIM的局限性。這種合作促成了DMARC的發(fā)展。

2012年：DMARC于2012年1月發(fā)布。它提供了一種方式，讓電子郵件發(fā)件人定義他們的電子郵件應(yīng)該如何進行認證和處理，如果認證失敗的話。

2018年：國土安全部要求所有聯(lián)邦機構(gòu)在2018年10月前實施DMARC，以幫助減輕組織郵件的非法使用。

2018-2023年：DMARC的采用率并沒有它的創(chuàng)作者希望的那么廣泛。沒有廣泛的采用，執(zhí)行DMARC策略對提供者來說是有問題的。根據(jù)Spamresource的數(shù)據(jù)，到2023年底，在前1000萬個域名中，只有大約123萬個域名正在使用DMARC記錄。這種情況會改變。

2024年：2023年10月，Gmail和Yahoo宣布他們將強制執(zhí)行一些嚴格的發(fā)件人要求，以幫助重新控制收件箱標準并保護用戶和發(fā)件人。一個要求是實施DMARC，最低策略為p=none。這種責(zé)任轉(zhuǎn)移將有助于恢復(fù)收件箱的平衡。

了解更多關(guān)于Gmail和Yahoo發(fā)件人要求的信息，請查看我們與Gmail和Yahoo的爐邊談話中的關(guān)鍵要點。

識別AI釣魚嘗試

好了，現(xiàn)在我們已經(jīng)完成了DMARC的繞道，讓我們回到釣魚。雖然DMARC是主要防御，但還有其他最佳實踐可以幫助你制定全面的戰(zhàn)斗策略。

第一步是學(xué)習(xí)標志。我們不能再依靠糟糕的語法和失敗的個性化來識別騙局。識別AI釣魚嘗試需要轉(zhuǎn)變視角。事實上，鑒于AI發(fā)展的速度和整合，這是你應(yīng)該磨練的技能。

像糟糕的語法和不合適的句子結(jié)構(gòu)這樣的通常標志不再適用。現(xiàn)在，第一步應(yīng)該是直接驗證來源。近似域名(也稱為相似域名)仍然可以注冊為合法域名，但名稱不完全相同。檢查URL和域名是否與實際公司域名一致。如果是未知發(fā)件人，最好將郵件標記為內(nèi)部公司安全團隊或在郵箱提供商中將其報告為垃圾郵件。

DMARC無法防御近似域名，因為它只保護創(chuàng)建DMARC策略的域名。語法不再是騙子的明顯標志，因此你必須警惕驗證收到郵件中使用的域名。
實施多層次安全

AI釣魚真的是智能的。無論你是否認為AI是或可以是有意識的，它確實具有“思考”的能力，并根據(jù)收集的數(shù)據(jù)進行迭代。機器學(xué)習(xí)過程現(xiàn)在可以自動化，以系統(tǒng)地尋找入口點。保護你的組織和數(shù)據(jù)資產(chǎn)需要強大的防火墻、最新的防病毒軟件和持續(xù)的員工教育培訓(xùn)。
發(fā)件人聲譽的重要性

釣魚不僅是安全威脅，也是聲譽威脅。像Gmail和Yahoo這樣的郵箱提供商正在通過強制執(zhí)行批量發(fā)件人要求，包括實施DMARC來為未來做準備，這將極大地幫助防御偽造域名和品牌的釣魚騙局。

DMARC是郵箱提供商保護用戶免受復(fù)雜電子郵件釣魚嘗試的最佳防御。當(dāng)組織發(fā)送電子郵件時，DMARC只有在設(shè)置和執(zhí)行規(guī)范時才有效。

如果DMARC到位，接收服務(wù)器將根據(jù)發(fā)送者設(shè)定的框架和策略對消息進行認證。偽造的域名將被指示從收件箱中拒絕或隔離(取決于你的DMARC策略)，并報告回你，即合法的發(fā)送者。

本文譯自 Mailgun，由 BALI 編輯發(fā)布。

生成海報

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）