GenAI助長釣魚風暴　企業如何自保？

編譯／Cynthia

近年，駭客通常發送大量拙劣的電子郵件發動釣魚攻擊，希望有人能上鉤。隨著電郵安全技術的發展，垃圾郵件過濾器等工具讓這些郵件易於被檢測。為了繞過這些技術，駭客不斷改變策略，引入更高級的釣魚技巧，如魚叉攻擊和商務電子郵件入侵（Business Email Compromise，BEC）。

精準釣魚攻擊的興起

傳統的釣魚攻擊注重數量，但現代攻擊者更注重品質。他們巧妙地製作能夠欺騙特定個人、團體或組織的訊息，遠離以往惡意連結或附件的方法，以免被現代電子郵件安全解決方案辨識。這使得社交工程重新成為主導威脅的手段。

更多新聞：保護憑證安全　下一代MFA如何應對GenAI釣魚風潮

GenAI釣魚攻擊玩出新花樣

過去，釣魚攻擊因為對目標的研究和郵件製作的耗時程序受到擴展性的限制。隨著生成式人工智慧（GenAI）的崛起，可以在短時間內製作更複雜且高效的釣魚郵件。這技術的普及使得駭客能夠在僅幾秒內輕鬆製作專業水準的社交工程內容，極大提升攻擊的速度和規模。

GenAI技術的應用與挑戰

儘管GenAI技術在商業上實施一系列防範惡意使用的安全措施，但同時也帶來一些風險。研究指出這些保護措施容易受到攻擊，令人擔憂的是，一些針對惡意目的設計的GenAI工具，如FraudGPT和WormGPT，已經問世。這些工具讓駭客能夠自動化高度客製化的魚叉攻擊和BEC攻擊，同時快速地收集目標的開源情報，包括個人資料、喜好、行為和公司數據。

GenAI助長釣魚攻擊

透過研究發現，GenAI技術的普及提升了釣魚攻擊的規模和複雜性。根據統計數據顯示，從2022年第二季至2023年第二季，美國的BEC嘗試增加23％，全球則增長了21％。與此同時，僅在2023年的前兩個季度，整體電子郵件攻擊增加24％。

企業現狀與面臨的挑戰

多數組織似乎尚未迎接應對這些新興釣魚威脅的挑戰。網路安全人才的缺口以及組織在應對網路事件方面的不足，成為最主要的問題之一。研究顯示，當前的網路安全專業人員對當前威脅環境缺乏自信，有75％表示這是過去五年中最具挑戰性的，45％預測AI將在未來兩年內成為最大的挑戰。

強調AI保安的不可或缺

面對這嚴峻的挑戰，唯一值得信賴的對策似乎是利用AI和機器學習打造的電子郵件安全解決方案。這些解決方案不僅能夠直接辨識威脅，更能夠不斷學習和適應，確保其效力隨著時間的推移而提升。此外，這些解決方案還能夠建立和微調特定用戶的行為模式，更可靠地偵測任何異常活動。

應對威脅的策略

總體而言，釣魚攻擊的演變要求組織和專業人員保持警惕，並採取積極的應對措施。這包括持續的教育和培訓，以及實施強大的AI驅動電子郵件安全解決方案。透過保持資訊並做好準備，組織可以大幅減少對這些高階釣魚技巧的脆弱性，從而保護自身的寶貴資產免受網路罪犯的侵害。

資料來源：Help Net Security

瀏覽 309 次