駭客利用ChatGPT和Google Bard　挑起複雜電子郵件攻擊

編譯／陳佩君

研究人員發現一個新釣魚電子郵件攻擊，其利用ChatGPT和Google Bard來發起複雜的電子郵件攻擊。自ChatGPT於2022年11月發布以來，許多報告顯示駭客開始依賴人工智慧來攻擊組織。駭客使用人工智慧技術發動攻擊有憑據網路釣魚、商業電子郵件詐騙（BEC）、供應商詐騙三種，為了對抗此類攻擊，電子郵件安全平台（如Trustif）通過AI的帳戶接管保護自動禁用對受感染帳戶的訪問，來保護用戶的企業電子郵件。

網路釣魚電子郵件一直是對每個組織的重大威脅，因為大多數駭客使用網路釣魚攻擊滲透到網路。此外，駭客一直在使用AI生成的文本進行網路釣魚攻擊。在一封電子郵件中發現，駭客冒充Facebook聲稱違反社群標準導致Facebook頁面未發布，該電子郵件包含一個連結，其可能是駭客用於竊取憑據的網路釣魚頁面。在進一步分析發現電子郵件由AI生成的文本組成，其意味駭客已開始使用 ChatGPT 和Google Bard等 AI 來生成看起來更合法的網路釣魚電子郵件內容。

第二種在商業電子郵件詐騙中，一封電子郵件模仿一個企業員工，提到需更新薪資單存款資訊等，且此電子郵件內容中沒有任何內容被視為危險。而這類郵件內容也被發現是AI生成。Abnormal Security網路安全的公司表示，「包括 ChatGPT在內的平台可用於生成逼真且令人信任的網路釣魚電子郵件和危險的惡意軟體，而像DeepFaceLab這樣影像換臉技術可以創建複雜的深度偽造（deepfake）內容，包括被操縱的影像和音檔記錄，而這可能只是一個開始。」

第三種供應商詐騙情況中，也可以稱為供應商電子郵件妥協（VEC）攻擊。它被認為是最成功的社交工程攻擊之一，因為其沒有向供應商或客戶顯示任何危險跡象。在最近一封電子郵件分析顯示，它完美地冒充一位要求未付發票的律師，但須讓我們提高警覺的是，電子郵件中模仿的人是在一家律師事務所工作的現有人員。

對於網路安全知識很少接觸的人而言，他們不會懷疑這類型的電子郵件，造成企業很難從合法電子郵件中過濾掉網路釣魚電子郵件。隨著聲音和影像技術的發展，駭客也在不斷發展新手法，造成企業或個人需承擔更高的網路安全風險。然而，我們也需要深入了解AI的優勢和劣勢，以避免其失控對我們產生更大的風險，以及如何保護我們的企業和個人資訊的安全等相關議題。

資料來源：Cyber Security News

瀏覽 2,740 次