去年,ChatGPT的发布让全世界都感到惊讶和震惊。
突然间出现了一个平台,它比之前的任何其他技术都更深入地了解互联网。人工智能可以被训练成像阿姆一样说唱,以世界著名诗人的风格写作,并精确地翻译内容,以至于它似乎能流利地掌握全球每一种方言。如此强大的工具的发布为其用户打开了一个充满机遇的世界。
然而,历史已经证明,当一项技术吸引了守法世界的注意力时,它也吸引了那些怀有恶意的人的注意力,这促使第一个纯粹为恶意目的而设计的生成式人工智能的推出——欺诈GPT。
欺诈GPT(FraudGPT)
FraudGPT 于 2023 年 7 月首次进入暗网,专门用于支持网络犯罪社区。与 ChatGPT 不同,FraudGPT 仅接受恶意内容训练,因此它是网络犯罪和黑客领域的专家。
该人工智能目前在暗网上以每月 200 美元或每年 2000 美元的订阅模式进行广告宣传,为用户提供一系列服务,包括编写恶意代码、查找系统漏洞、创建网络钓鱼电子邮件、创建网络钓鱼页面以及帮助犯罪分子发现被黑客攻击/欺骗最多的网站。
从企业的角度来看,FraudGPT 是每个首席执行官最可怕的噩梦,因为它为攻击者提供了一个现成的工具来创建高度逼真的网络钓鱼诈骗。
网络钓鱼电子邮件
大多数犯罪分子在制作网络钓鱼电子邮件时遇到的最大障碍之一是它们的真实性。经常存在拼写错误、图像或品牌颜色错误,使它们更容易被识别为假货。但有了 FraudGPT,所有这些问题都迎刃而解。
该平台是智能的,攻击者可以促使其了解组织,然后创建该组织通信的镜像副本,甚至欺骗其网站。由于这些功能触手可及,这使得 FraudGPT 成为一种非常危险的工具。
与传统的网络钓鱼诈骗不同,欺骗性网站和诈骗电子邮件的创建精度非常高,几乎不可能被检测为假冒。不会有拼写错误,字体将准确,并且通信将遵循与以前的邮件类似的风格。如果没有这些典型的危险信号,目标受害者就会信任电子邮件或虚假网站,认为交出所请求的信息不会有任何危害。
那么,企业可以采取哪些措施来防范人工智能生成的网络钓鱼这一新趋势呢?
与所有网络钓鱼诈骗一样,通过 FraudGPT 生成的攻击是一种用于保护更多信息的方法。
犯罪分子会使用 FraudGPT 创建真实的电子邮件或欺骗性网站,但最终目标是从受害者那里获取有价值的东西,在大多数情况下,这是他们的公司凭据和密码。
犯罪分子知道,窃取一组有效的员工凭据会使他们走上执行数据泄露或发起勒索软件攻击的途径,因此诱骗员工交出这些凭据几乎始终是他们的首要目标。
让犯罪分子更难
这意味着,为了提高企业对人工智能生成的网络钓鱼诈骗的防御能力,组织必须让犯罪分子更难获取和窃取员工凭证。
提高安全性的最佳方法之一是使用单点登录 (SSO) 解决方案和企业密码管理器 (EPM) 消除员工手中的凭据。
这些安全产品使员工不再需要密码,使他们能够访问履行其职责所需的所有应用程序,而无需查看、知道或输入密码。这意味着员工不可能被网络钓鱼者欺骗而交出密码——即使他们是高度现实的骗局的目标。
随着 FraudGPT 威胁不断出现,组织必须采取措施保护其用户。网络钓鱼的主要目标通常是窃取员工的密码,因此补救这种威胁的最安全方法是从员工手中删除密码,从而完全消除网络钓鱼风险。
这意味着,即使复杂的 FraudGPT 网络钓鱼诈骗确实到达了员工的收件箱,他们也无法交出密码,因为他们根本不知道密码。
