正如同許多 AI 專家所擔心,人工智慧不僅能帶動科技進步,也遭到不法份子大力運用,為網路犯罪行為帶出全新面貌。
其中,網路釣魚更是詐騙集團積極發展的手段之一,尤其在 AI 工具的輔助之下,由 AI 所驅動的網路釣魚郵件活動,不僅比過去變得更加頻繁,甚至還更具有「說服力」,透過更完美的格式取得普遍使用者信任。
突破傳統防禦,商務電郵詐騙年增率 70%
根據資安公司 Cofense 最新發表的研究報告,自從 AI 應用大行其道以來,網路釣魚郵件不但變得更為簡潔、精緻,甚至可以替受害者「量身訂製」郵件內容,藉此騙過本來就十分謹慎的網路使用者。
Cofense 報告指出,光是 2024 年旗下的網路釣魚防禦中心,每 42 秒就會偵測到一封惡意電子郵件,其中大多數都突破了傳統的外圍防禦手段。
這些成功突破防禦的釣魚郵件,由於擁有 AI 工具於幕後協助撰寫,因此能夠模仿人類語氣,以及偽造成企業內部的電子郵件格式,並且在內容上整合收件者的個人化資訊,其精確度令人印象深刻,進而使商務電郵詐騙(BEC)攻擊年增率躍升達 70%。
由此可見,借助 AI 發起更加進階、精確的網路釣魚手法,有心份子朝商務電子郵件入侵(BEC)方向所進行的轉變,正在被資安專家視為一大威脅。
當 AI 技術越進步,釣魚郵件就變得越完美
在過去,由 AI 所生成的惡意電子郵件內容,十分容易使詐騙份子露出網路釣魚的馬腳,比方說拼字錯誤與不夠自然的措辭等現象,通常可以讓人類輕鬆判斷出,該封郵件的寄件者並非母語人士,進而遭到篩選、過濾。
然而,隨著 AI 越來越進步,人工智慧所生成的釣魚郵件卻開始具備完美的語法、準確的格式,以及看似真實的寄件者地址及域名,亦具備冒充成企業高階主管的訊息的能力或被接收方的電子郵件系統,整合到同一個對話串之中,令使用者陷入的資安威脅倍增。
此外,由於現在幾乎任何人都可以輕鬆使用生成式 AI 工具,輔助完成各種風格、形式的文字內容,因此惡意份子正在以企業根本無法追上的速度,擴大釣魚郵件詐騙應用的運作規模。
即時轉換內容躲偵測,惡意軟體附檔推陳出新
資安公司 Cofense 直言,近來網路釣魚活動展現出的多態性(Polymorphic)特別值得外界關注,意即攻擊者會即時修改郵件內容,藉此躲避以數位簽章為基礎的安全工具。
Cofense 表示,具有多態性的網路釣魚郵件,甚至連標題、寄件者詳細資訊和內文,全都會進行動態轉換,使得傳統過濾器根本無法有效偵測。
不僅如此,Cofense 的資安報告同時點明,嵌入在新型態釣魚郵件內的惡意軟體,也正隨著技術發展而不斷進化,僅 2024 年就有超過 40% 的惡意軟體樣本,為過去從未出現的全新威脅,大多數還是擁有高度風險的遠端存取木馬(RAT)。
網路釣魚攻擊完全自動化,LLM 幕後推一把
另一方面,根據資安專家 2024 年發表於 IEEE Access 上的研究,在大型語言模型(LLM)的輔助之下,網路釣魚手法正在邁向「完全自動化」,並且將網路釣魚攻擊的成本降低 95% 以上,甚至達到相比過去更高的攻擊成功率。
該研究指出,典型的網路釣魚攻擊通常有 5 個不同階段,包括尋找目標、收集目標資訊、生成電子郵件、發送電子郵件,最後驗證並改進電子郵件內容,方便犯罪者於後續發起更有效的攻擊。
當有心份子將上述攻擊流程跟 ChatGPT、Claude 等具備連貫會話、自然語言處理能力的大型語言模型串接起來時,即可輕鬆達成網路釣魚攻擊的完全自動化。
資安專家預計,未來幾年網路釣魚攻擊的品質和數量都將大幅增加,企業也必須針對自身組織性質,採用相應的網路釣魚防護措施,甚至是為資安工作付出一定的商業成本。
別輕信完美格式!防範 AI 釣魚詐騙的 4 招自保術
除了專業的資安防禦工具之外,事實上使用者亦有許多簡單手段,可以有效防範由 AI 驅動的網路釣魚郵件攻擊。
舉例而言,資安專家建議使用者每次都要仔細檢查電子郵件的內容,尤其是對涉及財務、緊急要求的郵件抱持高度警覺,即便其格式看起來十分完美,也必須對郵件真實性抱持懷疑。
其次,若使用者收到的電子郵件來自主管或同事,那麼可以考慮在採取行動之前,先透過其他方式聯絡對方,再三確認任務內容;由 AI 產生的電子郵件通常看起來完美無瑕,因此使用者得更專注於判斷情境、時機和內文,不要單純依行文格式看起來「多專業」而給予信任。
專家亦提醒,任何人都應該避免在未經驗證的情況下,點擊信件中帶有的任何連結;點擊連結之前需再三確認網址和目標網頁,且極力避免從不熟悉、不認識的郵件中,下載檔案到裝置上。
最後,資安專家建議企業採用超越邊界的安全工具,以基於行為且提供事後分析、威脅回應的解決方案為主,不要單純依賴郵件本身的數位簽章系統,多一道防禦就能少一分遭到攻擊的風險。
【推薦閱讀】
◆ 小心來自「[email protected]」的 email,它現在可能是駭客網路釣魚
◆ 【真的是老闆打的電話嗎】Jericho Security 用真人級 AI 模擬釣魚,讓企業防禦「明天的攻擊」
◆ 【再說一次,不要付錢給駭客】教育科技公司 PowerSchool 被駭付贖金,客戶慘成韭菜被割
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《Harvard Business Review》,首圖來源:Unsplash
(責任編輯:鄒家彥)
