新兴威胁:人工智能驱动的深度伪造社会工程攻击日益复杂

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2023-09-22
网络社会工程学攻击是一种利用心理欺骗和社交技巧来欺骗目标人员,以获取敏感信息、非法访问系统或进行其他恶意活动的攻击方式。攻击者利用人们的信任、好奇心、隐私保护意识不足等心理弱点,通过与目标交互和操纵,以达到其攻击目的。
 
社会工程学攻击是一种复杂的攻击手法,包括钓鱼邮件、身份仿冒、电话诈骗、仿冒网站等等都是常见的社会工程学攻击手法。当前,随着AI技术的大跨步发展,恶意组织所掌握的攻击工具也愈发复杂,越来越多的安全事件表明,提醒员工“不要点击陌生来源链接”的方式已经越来越难以应对复杂的不断发展的社会工程攻击。
 


LLM大语言模型开始为恶意攻击者提供便利
 
随着ChatGPT的兴起,一系列的大型语言模型 (LLM)逐渐从技术研究走向落地应用,通过大量文本数据上进行训练,以生成类似人类的响应并执行各种与语言相关的任务。这些模型有数百万甚至数十亿个参数,以帮助他们更好的连贯和理解上下文,并进一步生成回复文本。
 
事实上可以看到,ChatGPT 已成为恶意行为者武器库中的强大工具。像过去那样逻辑混乱、错漏百出的诈骗邮件可能已经一去不复返了,在类ChatGPT大语言模型技术的加持下,攻击者们可以自动化的增强和优化文本,使得欺诈邮件看起来更具说服力。
 
值得注意的是,在过去,网络钓鱼电子邮件的编写者还需要克服语言的障碍,但在CahtGPT的帮助下,攻击者能够要求ChatGPT以更好的叙事逻辑对网络钓鱼电子邮件进行重构,以更好的匹配攻击目标所在地区的语言和说话习惯。有研究人员发现,在暗网中已经出现了类似WormGPT这样的AI大语言模型,以帮助攻击活动创建文本,这意味着,恶意攻击者可以基于此创建任何类型的内容,而不必在担心他们的恶意操作被ChatGPT识别并阻止。
 
众所周知,网络钓鱼邮件通常都会将企业的财务、行政以及高职位人群作为攻击集火目标,以更高效的获取利益,而精心设计的电子邮件显然会进一步提高攻击的成功率。
 
深度伪造视频和语音同样构成重大威胁
 
Deepfake是一种使用AI 和深度学习技术来创建高度逼真但虚假或捏造的内容的视频技术,通过深度伪造通常使用称为生成对抗网络 (GAN) 的机器学习算法,能够将现有视频中个人的面孔替换为其他人的面孔。这些先进的算法从大量数据中分析和学习,以生成高度令人信服的视觉和音频内容。
 
目前对深度伪造的使用甚至比创建它们的工具的可用性更令人担忧。令人震惊的是,大约 90% 的深度伪造被用于未经同意的色情内容,尤其是用于复仇目的。使问题更加复杂的是,当前在全球许多地区,如欧洲,目前仍然缺乏保护受害者的具体法律。
 
伪造语音是指人工生成地录音,旨在模仿或冒充攻击目标所熟悉的人的声音。与深度伪造视频一样,伪造语音也是使用先进的机器学习技术生成的,尤其是语音合成和语音转换算法。
 
伪造语音可以仅基于几秒钟的音频来创建。当伪造目标人员在线上有着许多的音视频资料时,获取伪造音频样本将变得更加容易。熟练的社会工程师可以巧妙地让个人参与持续一分钟的对话,使语音样本的获取相对轻松。目前,语音伪造具有比深度伪造更高的可信度,其中对目标语音模式的研究只会增加成功攻击的可能性。
 
因此,此类攻击的成功率取决于恶意行为者愿意投入的努力程度。这种不断变化的格局可能会对所谓的鲸鱼网络钓鱼攻击产生深远的影响,在这些攻击中,知名人物会成为攻击目标。这些类型的社会工程攻击在恶意组织内引起了最大的关注和资源分配。
 
随着深度伪造音频构成的威胁形势日益严峻,很明显,对发生交易或共享敏感信息的敏感电话实施双因素身份验证至关重要。我们正在进入一个数字通信领域,任何形式的通信的真实性都可能受到质疑。
 
社会工程学攻击正在成为勒索的有效方法
 
想象一下,如果有人要捕捉假的隐藏摄像机镜头,并利用人工智能将参与者的面部信息替换为受害者的面部信息,即便录像是捏造的,解释成本也会难以想象的提升。
 
随着恶意行为者逐渐占据上风,我们可能会发现自己步入了一个间谍活动的新时代,在这个时代,最足智多谋和创新的威胁行为者将在其中游刃有余。足可见,AI技术的引入为各个领域都带来了新的创造力,犯罪活动也被涵盖在内。
 
关键问题仍然存在:恶意行为者将在多大程度上突破界限?我们不能忽视这样一个事实,即网络犯罪是一个高达数十亿美元的场景啊木耳。某些犯罪组织的运作方式与合法公司类似,拥有自己的雇员和资源基础设施。他们深入研究开发自己的 deepfake生成器或许只是时间问题。凭借他们庞大的财政资源,这不是它是否可行的问题,而是它是否被认为值得的问题。
 
深度伪造+社会工程学攻击来袭 产业界有何防御措施?
 
那又该如何预防呢?当前市面上也出现一些针对深度伪造内容的扫描工具,比如Microsoft的视频身份验证器工具,还有Deepware提供的免费deepfake扫描仪,它已经通过YouTube视频进行了测试,展示了它在扫描和识别已知深度伪造方面的熟练程度。此外,英特尔也声称其FakeCatcher扫描仪在深度伪造检测方面具有96%的准确率。然而,鉴于大多数现有的深度伪造已经可以被人类识别,这一数据并未得到验证。
 
随着AI技术越来越多地融入日常生活,它自然而然地与网络安全领域交织在一起。虽然语音伪造和深度伪造扫描仪是一个解决思路,但验证其准确性显得至关重要。可以预计,未来渗透测试工作将越来越关注人工智能,从而导致一些安全评估的转变。
 
安全评估人员的在线服务可能很快就会成为网络安全和红队参与不可或缺的一部分。我们甚至可能会看到专门致力于打击社会工程攻击的事件预防和响应团队。
 
目前,如果有人通过深度伪造成为勒索的受害者,他们可以在哪里寻求帮助?他们当然不会找到他们的雇主说:“可能有一段敏感的视频在流传,但别担心,这只是一个深度伪造。但是,拥有一个能够保密地解决此问题并减轻此类攻击对个人的影响的团队可能会成为公司需要考虑的一项重要服务。虽然新的人工智能驱动世界对网络安全格局的变革力量是显而易见的,但这些变化的确切性质仍然不确定。