社會工程是一種成熟的網(wǎng)絡(luò)攻擊形式,由于人工智能的進步,惡意組織如虎添翼,我們未來可能會面臨更復(fù)雜的社會工程攻擊
大語言模型(LLM)
-
是指使用大量文本數(shù)據(jù)訓(xùn)練的深度學(xué)習(xí)模型,可以生成自然語言文本或理解語言文本的含義。像ChatGPT這樣的大型語言模型有數(shù)百萬甚至數(shù)十億個參數(shù),允許它們以連貫且上下文相關(guān)的方式理解和生成文本。
-
ChatGPT 已成為惡意攻擊者武器庫中的強大工具。措辭不佳、錯誤百出的電子郵件使我們的垃圾郵件箱混亂的日子可能很快就會一去不復(fù)返了。精心設(shè)計的釣魚郵件成功率往往會更高,此類電子郵件的收件人通常包括財務(wù)負責(zé)人或是在組織里與交易支付等環(huán)節(jié)有關(guān)系的其他人員。現(xiàn)在可以通過使用LLM增強和優(yōu)化文本,使釣魚郵件看起來更有說服力。值得注意的是, LLM可使惡意攻擊者的釣魚郵件更好地匹配目標受眾的語言和上下文。
-
據(jù)國外網(wǎng)站pcgamer的報道,WormGPT 是暗網(wǎng)上可用的大語言模型(LLM),由一位膽大的黑客設(shè)計,不關(guān)心道德的局限性,可以被要求完成各種邪惡的任務(wù),包括惡意軟件創(chuàng)建和“與黑帽有關(guān)的一切”。相比于ChatGPT,WormGPT不用像OpenAI或谷歌這樣的大型公司那樣,必須要承擔(dān)相關(guān)的法律義務(wù)。這意味著惡意行為者不必擔(dān)心他們的帳戶被阻止——他們可以使用它制作任何類型的內(nèi)容。
深度偽造技術(shù)(Deepfake)
-
使用AI和深度學(xué)習(xí)技術(shù)來創(chuàng)建高度逼真的虛假內(nèi)容,通常使用生成對抗網(wǎng)絡(luò)(GAN)的機器學(xué)習(xí)算法,將現(xiàn)有視頻中個人的面孔替換為其他人的面孔。這些先進的算法通過分析和學(xué)習(xí)大量數(shù)據(jù),生成高逼真度的視覺和音頻內(nèi)容,這些內(nèi)容可以欺騙觀看者相信這些的視頻是真實的。這可能采取合法使用的形式,如在社交媒體過濾器上換臉,或采取更邪惡的形式,如捏造政治演講或使用人們的真實姓名進行欺詐。
-
增強深度偽造視頻逼真度的難點在于準確復(fù)制頭發(fā)和面部特征。當(dāng)deepfake的畫布具有明顯不同的發(fā)際線或面部結(jié)構(gòu)時,生成的結(jié)果就看起來就不那么令人信服了。然而,惡意攻擊者發(fā)現(xiàn)有很多演員愿意讓人錄制他們的視頻并改變他們的外表。此外,也不乏確信自己的身份永遠不會暴露的人愿意被錄制。
-
目前對深度偽造技術(shù)的使用甚至比創(chuàng)建它們的工具的可用性更令人擔(dān)憂。令人震驚的是,大約90%的深度偽造技術(shù)被用于未經(jīng)同意的色情內(nèi)容,尤其是用于復(fù)仇目的。使問題更加復(fù)雜的是,歐洲缺乏保護受害者的具體法律。
一種有力的勒索手段
-
試想一下,如果有人獲取到偽造的隱藏攝像頭錄像,并利用人工智能將參與者的臉替換為受害者的臉。雖然錄像是偽造的,但很難向他人解釋清楚情況,這種情形下很容易向勒索者妥協(xié)。人工智能的引入為包括犯罪活動在內(nèi)的各個領(lǐng)域帶來了新的實踐路徑,我們可能會發(fā)現(xiàn)自己步入了一個各類新型惡意行為者越來越多的時期。
-
關(guān)鍵問題仍然存在:惡意行為者將在多大程度上突破界限?我們不能忽視這樣一個事實,即網(wǎng)絡(luò)犯罪是一個高利潤的行業(yè),涉及數(shù)十億美元。某些犯罪組織的運作方式與合法公司類似,擁有自己的雇員和資源基礎(chǔ)設(shè)施。他們深入研究開發(fā)自己的deepfake生成器只是時間問題(如果他們還沒有這樣做的話)。以他們雄厚的財力,這不是是否可行的問題,而是是否值得的問題。在這種情況下,答案可能是肯定的。
-
目前有哪些可以預(yù)防措施?各種掃描工具已經(jīng)出現(xiàn),聲稱它們能夠檢測深度偽造,例如Microsoft的視頻身份驗證器工具等。此外,英特爾聲稱其FakeCatcher scanner在深度偽造檢測方面具有96%的準確率。
語音偽造同樣可對組織構(gòu)成重大威脅
-
語音偽造(Voice fakes)是人工生成或操縱的錄音,旨在模仿或冒充某人的聲音。與深度偽造視頻一樣,語音偽造也是使用先進的機器學(xué)習(xí)技術(shù)生成的,尤其是語音合成和語音轉(zhuǎn)換算法,模仿特定個人的語音模式、語氣和細微差別,生成高相似度的音頻。只需幾秒鐘的音頻就能制作出偽造的音頻。但要想有效地欺騙熟人,則需要更長的錄音。如果目標人物在網(wǎng)上很有影響力,那么獲取這些錄音就變得更加簡單。
-
另外,高明的社交工程師可以巧妙地與目標進行超過一分鐘的對話,從而相對輕松地獲取語音樣本。目前,語音偽造比深度偽造具有更高的逼真度,對目標說話模式的研究只會提高攻擊成功的概率。此類攻擊的成功與否取決于惡意行為者愿意投入多少精力,這些類型的社會工程學(xué)攻擊在惡意組織內(nèi)部獲得了很高的關(guān)注和資源分配。
-
鑒于語音偽造所帶來的威脅,在進行交易或共享敏感信息的敏感電話中實施雙因素身份驗證顯然至關(guān)重要。我們正在進入一個數(shù)字通信時代,任何形式的通信的真實性都可能受到質(zhì)疑。
隨著人工智能日益融入日常生活,它自然也與網(wǎng)絡(luò)安全領(lǐng)域交織在一起。雖然語音偽造和深度偽造掃描儀的出現(xiàn)令人充滿希望,但必須徹底測試其準確性。可以預(yù)期,滲透測試工作將越來越關(guān)注人工智能,從而導(dǎo)致一些安全評估的轉(zhuǎn)變。
未來,評估知名人士的線上信息以及制造高度逼真的深度偽造內(nèi)容的難易程度,可能很快就會成為網(wǎng)絡(luò)安全團隊工作不可或缺的一部分,甚至可能會出現(xiàn)專門用于打擊社交工程攻擊的事件預(yù)防和響應(yīng)團隊。
目前,如果有人成為深度偽造勒索的受害者,他們能向哪里求助呢?他們肯定不會找自己的雇主說:"可能有敏感視頻在流傳,不過不用擔(dān)心,這只是一個深度偽造的視頻"。但是,如果有一支能夠以保密的方式解決這一問題,并減輕此類攻擊對個人影響的團隊,那么這將成為公司需要考慮的一項重要服務(wù)。
雖然新的人工智能驅(qū)動世界對網(wǎng)絡(luò)安全格局的變革力量是顯而易見的,但這些變化是好是壞仍然不確定。
內(nèi)容參考:
https://www.helpnetsecurity.com/2023/09/06/ai-social-engineering/
