人工智能鱼叉式钓鱼即将成为现实

近日，来自新加坡的研究人员证明，他们可以利用人工智能即服务应用程序和 API 来制作令人信服的鱼叉式网络钓鱼电子邮件，而无需人工或干预，从而一窥恶意诈骗者未来可能采取的策略。

来自新加坡政府技术局 (GTA) 的研究人员设计了他们所描述的网络钓鱼流程管道，用自动化的人工智能服务取代了传统的手动步骤，允许恶意行为者以更少的人力开发新的活动。然后，他们将手动创建的和人工智能创建的网络钓鱼电子邮件发送给志愿人类测试对象，以查看哪种更有效。

GTA 的网络安全副专家 Eugene Lin 在上周的 Black Hat 会议上表示，对于自愿参与这项研究的人类测试对象，人工智能管道“在三分之二的测试中显着优于手动工作流程”。“当我们添加个性化时，人工智能管道表现得更好，在第一次参与中达到了高达 60% 的点击率，”林补充道。

此外，研究人员发现人工智能管道测试中，测试对象点击链接，甚至包括填写表单字段方面都非常有效——转化率高达 80%。

研究人员发布的图表显示，现实生活中攻击者可能会滥用各种人工智能工具。为了对志愿网络钓鱼目标进行测试，研究人员利用了 Humantic AI，这是一项基于公开信息（如 LinkedIn 个人资料）为求职者提供个性和行为洞察力的服务。这使他们能够执行网络钓鱼上下文生成，从而获得有关如何接近目标的说明。

“我们将 Humantic API 输出传递为纯文本指令，描述目标以及如何接近它们，”Lin 说，并指出 Humantic AI“只是众多销售和招聘个性化 API 中的一个，作为一项服务，对对外开放的。其中许多公司都可以获得免费演示，允许任何人立即注册 API。因此，在现实情况下，任何这些公司都可以对其改编以使用我们的钓鱼邮件管道。”

然而，目前的人工智能管道并不完美，仍然需要一些人工编辑。尽管如此，在人工智能管道生成的鱼叉式网络钓鱼电子邮件中校订这些问题比网络犯罪分子纯手工制作要省事得多。

众所周知，鱼叉式网络钓鱼面临问题在于，创建可信度极高的网络钓鱼电子邮件需要大量时间和创造力。研究人员还使用 GPT-3试图解决这个问题：

研究人员将 OpenAI 的 GPT-3 平台与其他专注于个性分析的人工智能即服务产品结合使用，以生成适合同事背景和特征的网络钓鱼电子邮件。专注于人格分析的机器学习旨在根据行为输入预测一个人的倾向和心态。通过多个服务运行输出，研究人员能够开发一个管道，在发送之前整理和完善电子邮件。他们说，结果听起来“非常人性化”，并且这些平台自动提供了令人惊讶的细节，例如在指示为居住在新加坡的人生成内容时提到了新加坡法律。

虽然他们对合成信息的质量以及他们从同事那里获得的点击次数与人工合成信息的点击次数印象深刻，但研究人员指出，该实验只是第一步。样本量相对较小，目标库在就业和地理区域方面相当同质。此外，人工生成的消息和 AI 即服务管道生成的消息都是由办公室内部人员创建的，而不是外部攻击者。

一位安全业界专家指出，这种方法投入实际应用只是时间问题。攻击者如果将其与语音和视频合成（深度伪造）相结合，将会产生非常可怕的场景和后果。真正的风险不在于人工智能生成的网络钓鱼电子邮件与人工生成的一样好，而是它们可以以更大的规模生成。

“人工智能管道通过节省人力和时间，加快了我们的运营速度，从而带来了质的改进，”Lin表示，对于上下文和内容生成：“集成 AI 有助于简化和标准化操作。输入和输出不再取决于单个操作员的技能组合和倾向。”

最后，Lin表示还可以将他们的基础设施与其他现有工具（例如 Gophish 开源网络钓鱼框架）集成。“这突显了人工智能即服务如何从开源语言模型中提高可访问性，”他指出。

GTA 的网络安全副专家 Timothy Lee 表示，提供人工智能即服务产品的公司必须作为第一道防线，制定使用条款和筛选指南，以期阻止误用和滥用。此外，他建议解决方案供应商确保对其产品的使用情况进行审核和跟踪。

与此同时，企业可能需要进一步加强反网络钓鱼培训，作为其安全意识计划的重要部分。

参考资料：

https://www.youtube.com/watch?v=tWWhRbzhkrg

https://media.defcon.org/DEF%20CON%2029/DEF%20CON%2029%20presentations/Eugene%20Lim%20Glenice%20Tan%20Tan%20Kee%20Hock%20-%20Hacking%20Humans%20with%20AI%20as%20a%20Service.pdf