IEEE：對人類意識的重視回歸網絡安全視野

網絡安全中人是最薄弱的環(huán)節(jié),網絡安全專業(yè)人員所依賴的不是防火墻、入侵檢測系統(tǒng)或任何其他技術優(yōu)勢。

為什么說網絡安全中最薄弱的環(huán)節(jié)總是人呢?人們一遍又一遍地重復使用相同的密碼;當需要更新軟件時,也經常會拖延;人們還會不經意地點擊惡意鏈接,幫助入侵者訪問網絡。

生成式人工智能的興起可能會讓這最薄弱的環(huán)節(jié)變得更加脆弱,進行員工安全意識培訓是保護員工和企業(yè)免受詐騙的重要措施。

“人工智能使網絡釣魚詐騙更具欺騙性,公眾也更容易受到攻擊。聯邦貿易委員會報告稱,2023年,冒充詐騙竊取了超過11億美元,是2020年冒充詐騙的三倍。這些模仿行為得到了人工智能的支持”,IEEE會員Rebecca Herold表示,“這些也是當前技術很難克服的問題。企業(yè)必須定期培訓其員工和承包商,了解人工智能攻擊跡象和最新策略,以保護企業(yè)的員工、客戶、知識產權和聲譽。”

社會工程學

你有沒有收到過一封看起來像是來自銀行的電子郵件,里面充滿了拼寫錯誤,這就讓你意識到了有些事情不對勁?或者稅務機關的電話要求立即支付只能通過電話支付的稅款?當你知道一個朋友不在那個國家時,他卻在社交媒體上聲稱被困在國外需要錢,你怎么辦?

這些都是社會工程學的形式,在某些網絡攻擊中經常使用。

例如,在網絡釣魚攻擊中,攻擊者會發(fā)送熱門公司帶有虛假網頁鏈接的電子郵件,誘騙人們輸入登錄憑據 —— 電子郵件不一定來自這家公司。同時,這種詐騙也不一定是電子郵件。各種形式的網絡釣魚攻擊可能包括短信。得益于生成式人工智能,攻擊者可以通過電話模仿另一個人的聲音,甚至通過視頻會議模仿他們的圖像。

了解目標

許多網絡釣魚活動不過是“釣魚探險”。攻擊者發(fā)送了數萬封欺詐電子郵件,以期有一兩個人上鉤。Spear phishing涉及對特定個人或團體的有針對性的攻擊。這需要提前進行大量的研究,以提高他們成功的機會。人工智能可以幫助他們了解公司中的重要關系,例如誰向誰報告,以及人們從事什么項目。

IEEE高級會員Marcio Teixeira設想攻擊者以金融機構為目標。

Teixeira解釋說:“攻擊者可以使用人工智能來分析社交媒體和專業(yè)網站,收集職位和個人興趣等細節(jié)。通過自然語言處理,他們可以創(chuàng)建模仿公司高管風格的電子郵件。這些電子郵件可能會提到最近的公司活動,并包括一個看似真實但實際虛假的公司門戶網站的鏈接,要求提供登錄詳細信息。一些電子郵件還可能附加惡意軟件,一旦打開,就會竊取敏感數據。人工智能會根據收件人的反應來優(yōu)化這些釣魚電子郵件,使每次新的嘗試更有可能成功。”

人工智能制造更智能的網絡騙局

由于非常具體的原因,使用生成式人工智能可能會使得發(fā)現網絡釣魚的方法變得更加困難。過去的網絡釣魚過程中往往充斥著拼寫錯誤和語法錯誤。然而,生成式人工智能可以幫助寫出語法正確的內容,避免了拼寫錯誤。

Teixeira表示,公司可以采取一些措施來提高防御能力。他說,培訓可以提供關于網絡釣魚策略和最新的人工智能生成騙局的教育,以識別網絡釣魚的跡象,如索要金錢或敏感信息。雇主還可以采用模擬釣魚練習來幫助員工練習識別和報告嘗試。

最后,公司需要有明確的報告機制,鼓勵員工立即報告可疑電子郵件。

他說:“在人工智能驅動的網絡威脅日益復雜的背景下,清晰的溝通和頻繁的培訓是有效的安全意識計劃的兩個關鍵組成部分。”

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）