IEEE:對(duì)人類意識(shí)的重視回歸網(wǎng)絡(luò)安全視野

  • 人閱讀
  • 2024-08-08 11:45:22

  • 來源:站長(zhǎng)之家

  • 相關(guān)關(guān)鍵詞

網(wǎng)絡(luò)安全中人是最薄弱的環(huán)節(jié),網(wǎng)絡(luò)安全專業(yè)人員所依賴的不是防火墻、入侵檢測(cè)系統(tǒng)或任何其他技術(shù)優(yōu)勢(shì)。

為什么說網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)總是人呢?人們一遍又一遍地重復(fù)使用相同的密碼;當(dāng)需要更新軟件時(shí),也經(jīng)常會(huì)拖延;人們還會(huì)不經(jīng)意地點(diǎn)擊惡意鏈接,幫助入侵者訪問網(wǎng)絡(luò)。

生成式人工智能的興起可能會(huì)讓這最薄弱的環(huán)節(jié)變得更加脆弱,進(jìn)行員工安全意識(shí)培訓(xùn)是保護(hù)員工和企業(yè)免受詐騙的重要措施。

人工智能使網(wǎng)絡(luò)釣魚詐騙更具欺騙性,公眾也更容易受到攻擊。聯(lián)邦貿(mào)易委員會(huì)報(bào)告稱,2023年,冒充詐騙竊取了超過11億美元,是2020年冒充詐騙的三倍。這些模仿行為得到了人工智能的支持”,IEEE會(huì)員Rebecca Herold表示,“這些也是當(dāng)前技術(shù)很難克服的問題。企業(yè)必須定期培訓(xùn)其員工和承包商,了解人工智能攻擊跡象和最新策略,以保護(hù)企業(yè)的員工、客戶、知識(shí)產(chǎn)權(quán)和聲譽(yù)。”

社會(huì)工程學(xué)

你有沒有收到過一封看起來像是來自銀行的電子郵件,里面充滿了拼寫錯(cuò)誤,這就讓你意識(shí)到了有些事情不對(duì)勁?或者稅務(wù)機(jī)關(guān)的電話要求立即支付只能通過電話支付的稅款?當(dāng)你知道一個(gè)朋友不在那個(gè)國家時(shí),他卻在社交媒體上聲稱被困在國外需要錢,你怎么辦?

這些都是社會(huì)工程學(xué)的形式,在某些網(wǎng)絡(luò)攻擊中經(jīng)常使用。

例如,在網(wǎng)絡(luò)釣魚攻擊中,攻擊者會(huì)發(fā)送熱門公司帶有虛假網(wǎng)頁鏈接的電子郵件,誘騙人們輸入登錄憑據(jù) —— 電子郵件不一定來自這家公司。同時(shí),這種詐騙也不一定是電子郵件。各種形式的網(wǎng)絡(luò)釣魚攻擊可能包括短信。得益于生成式人工智能,攻擊者可以通過電話模仿另一個(gè)人的聲音,甚至通過視頻會(huì)議模仿他們的圖像。

了解目標(biāo)

許多網(wǎng)絡(luò)釣魚活動(dòng)不過是“釣魚探險(xiǎn)”。攻擊者發(fā)送了數(shù)萬封欺詐電子郵件,以期有一兩個(gè)人上鉤。Spear phishing涉及對(duì)特定個(gè)人或團(tuán)體的有針對(duì)性的攻擊。這需要提前進(jìn)行大量的研究,以提高他們成功的機(jī)會(huì)。人工智能可以幫助他們了解公司中的重要關(guān)系,例如誰向誰報(bào)告,以及人們從事什么項(xiàng)目。

IEEE高級(jí)會(huì)員Marcio Teixeira設(shè)想攻擊者以金融機(jī)構(gòu)為目標(biāo)。

Teixeira解釋說:“攻擊者可以使用人工智能來分析社交媒體和專業(yè)網(wǎng)站,收集職位和個(gè)人興趣等細(xì)節(jié)。通過自然語言處理,他們可以創(chuàng)建模仿公司高管風(fēng)格的電子郵件。這些電子郵件可能會(huì)提到最近的公司活動(dòng),并包括一個(gè)看似真實(shí)但實(shí)際虛假的公司門戶網(wǎng)站的鏈接,要求提供登錄詳細(xì)信息。一些電子郵件還可能附加惡意軟件,一旦打開,就會(huì)竊取敏感數(shù)據(jù)。人工智能會(huì)根據(jù)收件人的反應(yīng)來優(yōu)化這些釣魚電子郵件,使每次新的嘗試更有可能成功。”

人工智能制造更智能的網(wǎng)絡(luò)騙局

由于非常具體的原因,使用生成式人工智能可能會(huì)使得發(fā)現(xiàn)網(wǎng)絡(luò)釣魚的方法變得更加困難。過去的網(wǎng)絡(luò)釣魚過程中往往充斥著拼寫錯(cuò)誤和語法錯(cuò)誤。然而,生成式人工智能可以幫助寫出語法正確的內(nèi)容,避免了拼寫錯(cuò)誤。

Teixeira表示,公司可以采取一些措施來提高防御能力。他說,培訓(xùn)可以提供關(guān)于網(wǎng)絡(luò)釣魚策略和最新的人工智能生成騙局的教育,以識(shí)別網(wǎng)絡(luò)釣魚的跡象,如索要金錢或敏感信息。雇主還可以采用模擬釣魚練習(xí)來幫助員工練習(xí)識(shí)別和報(bào)告嘗試。

最后,公司需要有明確的報(bào)告機(jī)制,鼓勵(lì)員工立即報(bào)告可疑電子郵件。

他說:“在人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)威脅日益復(fù)雜的背景下,清晰的溝通和頻繁的培訓(xùn)是有效的安全意識(shí)計(jì)劃的兩個(gè)關(guān)鍵組成部分。”

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )