近日,SlashNext发布了《2023年网络钓鱼状况报告》,报告显示:自ChatGPT于2022年11月推出以来,网络钓鱼电子邮件数量激增1265%,这标志着网络犯罪依托于人工智能进入了一个新的时代。
该报告深入分析了2022年第四季度至2023年第三季度12个月内的数十亿种威胁,包括基于链接的威胁、恶意附件以及电子邮件、手机和浏览器渠道中的自然语言消息,特别是与利用ChatGPT等生成式人工智能工具和聊天机器人有关的活动,并对300多名网络安全专业人士进行了调查。其中,恶意网络钓鱼电子邮件增加了1265%,尤其是凭据网络钓鱼增加了 967%。
什么是ChatGPT?
ChatGPT,英文全称Chat Generative Pre-trained Transformer,是一种由OpenAI开发的基于人工智能技术的一种大规模预训练语言模型,旨在帮助人们更好地与计算机进行沟通。
ChatGPT不仅能够与人类进行真实而自然的对话,还能够能进行撰写邮件、视频脚本、文案、翻译、代码、论文等任务。
什么是网络钓鱼?
网络钓鱼是一种网络犯罪行为,指通过伪装成合法的实体或企业,向受害者发送欺诈性信息并骗取其敏感信息的攻击方式。它是一种常见的网络攻击,意图通过各种手段从受害者身上盗取账号密码、银行卡信息等个人敏感信息,用于非法获取财物或者进行其他非法活动。
网络犯罪分子是如何利用ChatGPT等生成式人工智能工具来进行网络钓鱼的?
1、钓鱼欺诈收集用户信息
网络犯罪分子会冒充一些熟悉的机构或公司,利用ChatGPT等生成式人工智能工具自动生成一封看似真实的调查问卷邮件,然后通过要求用户填写个人信息的方式来收集受害人的兴趣、偏好和习惯。
2、生成真假难辨的钓鱼邮件
收集到用户信息以后,网络犯罪分子会再次利用ChatGPT生成专门设计的网络钓鱼邮件,比如仿照真实公司的风格和语言,诱使用户点击恶意链接或下载危险附件,而这种钓鱼邮件的伪造程度极高,常常很难辨别。
3、生成更有针对性的邮件内容
网络犯罪分子也会根据这些用户信息,分析出这些用户的偏好,再利用ChatGPT生成更有针对性的邮件内容。比如根据受害者的兴趣、地理位置、购买历史等个人信息发送诱人的优惠活动、紧急更新通知或账户异常警告,利用ChatGPT生成的自然语言进行回复,从而使得网络钓鱼更具针对性,让受害人更容易上当受骗。
对此,锐成建议:
网络钓鱼虽然一直存在,但网络犯罪分子违规利用ChatGPT等生成式人工智能导致网络钓鱼邮件数量激增的这一事实不容忽视,为了更好的应对这一状况,建议:
学习和了解网络钓鱼等常见攻击手段,提高自身的安全意识;
使用企业邮箱,制定企业邮箱系统安全策略;
部署邮件服务器证书(SSL证书),验证请求的邮件服务器身份;
部署邮件安全证书(S/MIME证书),加密邮件内容和验证发件人身份;
旨在通过以上网络钓鱼邮件防范措施,帮助用户识别和拦截伪造、欺诈邮件,远离网络钓鱼邮件。当然政府和法律部门也应逐步重视这个问题,并提高监管和打击力度,让ChatGPT这样的人工智能技术更好地服务于人类,给我们的生活带来更多便利和可能性,而不是被滥用于网络犯罪。