我们都是目标： 生成式人工智能和鱼叉式网络钓鱼的自动化

不久前，我们还可以通过错误的拼写、语法错误和非英语句法来识别网络钓鱼电子邮件。 我们可以发现像尼日利亚王子骗局这样被广泛使用的通用伎俩。 我们大多数人还没有遭遇过精心设计、有针对性的鱼叉式网络钓鱼，因为对于犯罪分子来说，研究我们的背景和制作个性化信息的成本太高了。 随着生成式人工智能的出现，这一情况正在迅速改变。 作为安全专业人员，我们需要为后果做好准备。

生成式人工智能使鱼叉式网络钓鱼的端到端自动化成为可能，从而降低了成本并扩大了其用途。 想想攻击者为了实施商业电子邮件攻击（BEC），必须经过哪些工作才能制作有效的鱼叉式网络钓鱼消息。 攻击者选择一个目标，研究他们的社交媒体，发现他们最密切的联系，并找出目标的兴趣。 利用这些信息，攻击者可以精心制作个性化电子邮件，并使用避免引起怀疑的语气。 这项工作需要深思熟虑地遵循线索并具备心理直觉。

这项工作可以自动化吗？ 当然，攻击者会自动抓取社交媒体内容，并使用撞库攻击来接管账户以收集信息。 通过自动化，攻击者可以建立有关目标生活的知识图谱。

利用这个知识图谱，攻击者可以将高度个人信息输入类似 ChatGPT 的服务（没有道德保障的服务），以创建有针对性且有效的鱼叉式网络钓鱼信息。 攻击者可以创建跨越从电子邮件到社交媒体的多个渠道的整个消息序列，这些消息来自多个虚假账户，每个账户都具有根据目标的信任倾向生成的精心制作的角色。

有迹象表明这一威胁迫在眉睫。 有报道称，暗网上出现了WormGPT 和 FraudGPT等新型攻击工具出售，这表明犯罪分子已经开始将生成式人工智能用于包括网络钓鱼在内的邪恶目的。 虽然这项技术的使用还没有达到大规模端到端自动化，但各个部分正在逐渐融合，而网络犯罪的经济动态使得这种发展几乎是不可避免的。

在网络犯罪经济中，存在着推动创新的专业化。 世界经济论坛（WEF）估计，网络犯罪现在是世界第三大经济损失，仅次于美国和中国，预计2023年损失将达到8万亿美元，2025年将达到10.5万亿美元。 与任何大型经济体一样，网络犯罪经济包括具有专业化的供应商：有销售被盗凭证的供应商、提供受损账户访问权限的供应商以及提供数千万个住宅 IP 地址的 IP 地址代理的供应商。

此外，还有网络钓鱼即服务提供商提供从电子邮件模板到实时网络钓鱼代理站点的完整工具包。 （请参阅 Jay Kelley 的文章，了解钓鱼网站如何使用有效的 TLS 来欺骗真实网站。） 当供应商竞相赢得犯罪分子的业务时，最高奖金将归于那些提供成本最低的端到端服务的组织 - 这种动态可能会推动鱼叉式网络钓鱼的自动化。 我们可以想象一些组织，它们专门围绕目标收集各种类型的数据、进行数据聚合，以及专注于特定行业或擅长处理不同类型欺诈行为的 LLM。

鉴于针对新目标的鱼叉式网络钓鱼攻击增加的可能性，组织需要加强现有的反网络钓鱼措施。

高级网络钓鱼意识培训： 长期以来，定期教育员工了解网络钓鱼的危险、如何识别可疑电子邮件以及在遇到潜在网络钓鱼企图时应采取什么措施一直非常重要。 然而，许多组织培训员工通过拼写和语法错误识别网络钓鱼电子邮件。 相反，培训必须更加深入，训练人们留意来自不受信任、未经验证的来源的任何请求。 在开展模拟网络钓鱼活动以测试员工识别网络钓鱼电子邮件的能力时，请使用写得好、专业、针对特定员工且来自看似合法来源的网络钓鱼信息。

防御实时网络钓鱼代理： 攻击者经常使用网络钓鱼通过实时网络钓鱼代理绕过多因素身份验证 (MFA)。 犯罪分子利用网络钓鱼欺骗用户在他们控制的网站中输入他们的凭证和一次性密码，然后他们代理到真正的应用以获取访问权限。 （有关 MFA 绕过和防御的更多信息，请参阅白皮书： MFA 是否解决了帐户被接管的威胁？ )

更加严格地防范账户盗用： 犯罪分子通过使用机器人的撞库攻击大规模控制账户，从而导致大量账户被接管。 除了金融欺诈之外，犯罪分子还通过抓取收集其他个人数据，以用于进一步的网络钓鱼攻击。 有效防御机器人需要丰富的信号收集和机器学习。

使用 AI 与 AI 战斗： 由于犯罪分子利用生成式人工智能进行欺诈，组织应该利用人工智能进行防御。 F5 与各组织合作，利用丰富的信号收集和人工智能来打击欺诈行为。 F5 分布式云帐户保护实时监控用户整个旅程中的交易，以检测恶意活动并提供准确的欺诈检测率。 如果您能够检测应用内的欺诈行为，则可以减少网络钓鱼的危害。 （使用 AI 检查流量需要有效地解密流量，您可以使用TLS 编排有效地完成此操作。）