ChatGPT成釣魚(yú)郵件幫兇？專(zhuān)家：這根黑客趁手的“釣魚(yú)竿”并不可怕

近期，人工智能聊天機(jī)器人ChatGPT幾乎火爆全網(wǎng)，它能根據(jù)要求進(jìn)行聊天，能撰寫(xiě)論文、創(chuàng)作詩(shī)歌，還能編寫(xiě)代碼、生成劇本等等，可謂是“上知天文，下知地理”，在展現(xiàn)出AI驚人能量的同時(shí)，也為世界帶來(lái)了不可思議的新能力。

然而隨著ChatGPT熱度的不斷攀升，不法分子利用其技術(shù)本身實(shí)施違法犯罪的行為也愈加猖狂，尤其要提防近期不斷增多的“網(wǎng)絡(luò)釣魚(yú)郵件”。對(duì)此，多地公安局紛紛發(fā)布相關(guān)信息提醒稱(chēng)，境外有人使用ChatGPT創(chuàng)建了完整的“釣魚(yú)郵件”感染鏈，而且不同以往的廣撒網(wǎng)式的網(wǎng)絡(luò)釣魚(yú)，它在提問(wèn)者的誘導(dǎo)下，可以生成針對(duì)特定人或者組織的“魚(yú)叉式”網(wǎng)絡(luò)釣魚(yú)郵件。

ChatGPT類(lèi)釣魚(yú)郵件具有三大特征

奇安信安全攻防專(zhuān)家認(rèn)為，寫(xiě)出色的網(wǎng)絡(luò)釣魚(yú)電子郵件是一門(mén)藝術(shù)和科學(xué)，借助ChatGPT，編寫(xiě)釣魚(yú)郵件會(huì)變得更容易，總體來(lái)看，借助ChatGPT創(chuàng)造的釣魚(yú)郵件，具有高欺騙性、高回報(bào)比、低技術(shù)門(mén)檻等三大特征。

首先，ChatGPT類(lèi)釣魚(yú)郵件更具有欺騙性和迷惑性。

根據(jù)HPWolfSecurity的研究，網(wǎng)絡(luò)釣魚(yú)占惡意軟件攻擊的近90%。ChatGPT使情況變得更糟：它在模仿人類(lèi)書(shū)寫(xiě)方面的專(zhuān)長(zhǎng)，使其可能成為強(qiáng)大的網(wǎng)絡(luò)釣魚(yú)工具。例如“使郵件看起來(lái)很緊急”、“收件人點(diǎn)擊鏈接的可能性很高的郵件”、“請(qǐng)求匯款的社工郵件”等等。接收者一旦點(diǎn)擊該郵件，系統(tǒng)就會(huì)被惡意代碼感染中毒。

其次，ChatGPT生成網(wǎng)絡(luò)誘餌顯著提升了攻擊者的回報(bào)比。

有關(guān)專(zhuān)家表示：普通網(wǎng)絡(luò)釣魚(yú)的規(guī)模很大，以電子郵件、短信和社交媒體帖子的形式發(fā)送數(shù)百萬(wàn)個(gè)誘餌。但這類(lèi)通用的形式，容易被發(fā)現(xiàn)，往往回報(bào)較低。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)利用社會(huì)工程，創(chuàng)建具有更高回報(bào)的針對(duì)性和定制化的誘餌，但因需要大量的人工投入，因而數(shù)量較少。借助ChatGPT生成網(wǎng)絡(luò)誘餌，攻擊者就可以實(shí)現(xiàn)事半功倍的效果。

同時(shí)，黑客還可以通過(guò) ChatGPT 編寫(xiě) VBA 代碼，只需簡(jiǎn)單地將惡意 URL 插入到此代碼中，當(dāng)用戶打開(kāi)如Excel文件時(shí)便會(huì)自動(dòng)開(kāi)始下載惡意軟件負(fù)載。

第三，ChatGPT讓普通黑客也能制造出武器化的釣魚(yú)郵件。

此外，研究人員發(fā)現(xiàn)，ChatGPT能使黑客能夠逼真地模擬各種社會(huì)環(huán)境，從而使任何針對(duì)性的攻擊都更加有效，即使是一些非母語(yǔ)國(guó)家的黑客，也能編寫(xiě)出符合目標(biāo)國(guó)家語(yǔ)法和邏輯、沒(méi)有任何拼寫(xiě)或格式錯(cuò)誤的高仿真釣魚(yú)郵件。

國(guó)外網(wǎng)絡(luò)安全公司專(zhuān)家也聲稱(chēng)，目前網(wǎng)絡(luò)釣魚(yú)攻擊的進(jìn)入門(mén)檻已經(jīng)很低。人們只要提示到位，ChatGPT就能輕松創(chuàng)建出數(shù)十份具有針對(duì)性的詐騙電子郵件。

從以上信息可以看出，ChatGPT可以讓沒(méi)有太多技術(shù)能力的黑客，在短短幾分鐘內(nèi)輕松炮制出武器化的釣魚(yú)郵件，對(duì)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。

專(zhuān)家支招：如何高效識(shí)別、攔截ChatGPT釣魚(yú)郵件

那么，黑客用ChatGPT生成的釣魚(yú)郵件真的有那么可怕么?奇安信安全攻防專(zhuān)家認(rèn)為，解決人工智能安全問(wèn)題的核心還是“人”，只要安全措施和意識(shí)到位，ChatGPT帶來(lái)的釣魚(yú)郵件威脅并不可怕。

首先，ChatGPT的AI驅(qū)動(dòng)響應(yīng)，為大多數(shù)編寫(xiě)釣魚(yú)郵件的黑客提供了一個(gè)有利的武器，但它作為一個(gè)機(jī)器人助理，并不能實(shí)現(xiàn)真正的人類(lèi)智能。它依然經(jīng)常會(huì)出現(xiàn)“一本正經(jīng)地胡說(shuō)”的情況，其邏輯性、可信性仍有很大不足。黑客要小心翼翼地檢查ChatGPT編寫(xiě)的每一句話，不然就很可能被ChatGPT帶進(jìn)溝里。

其次，盡管大多數(shù)時(shí)候，ChatGPT能為其提供正確而完美的釣魚(yú)郵件信息，但也僅僅是降低了黑客的攻擊成本和難度而已。因此，黑客用ChatGPT生成釣魚(yú)郵件，只會(huì)導(dǎo)致釣魚(yú)郵件的數(shù)量不斷增加，并不會(huì)顯著增加釣魚(yú)郵件的攔截難度和成本。

最后，無(wú)論是ChatGPT生成的釣魚(yú)郵件，還是人工編寫(xiě)的釣魚(yú)郵件，釣魚(yú)郵件終究利用的還是受害者的心里。因此，要想避免“上鉤”，首先要提高防患意識(shí)，否則一不小心便會(huì)掉進(jìn)黑客的郵件圈套。

因此，ChatGPT造成的釣魚(yú)郵件泛濫讓人對(duì)此產(chǎn)生恐懼，其實(shí)大可不必恐慌，我們就將其簡(jiǎn)單視為一個(gè)“人工智能自然語(yǔ)言處理工具”。相信以后，在多方發(fā)力下，ChatGPT將實(shí)現(xiàn)有序發(fā)展，使用ChatGPT在互聯(lián)網(wǎng)生成和發(fā)布信息的，也必將受到網(wǎng)絡(luò)平臺(tái)的監(jiān)管。

而針對(duì)此類(lèi)ChatGPT機(jī)器生成的“高仿真”釣魚(yú)郵件文本內(nèi)容，暫時(shí)還并沒(méi)有很好的識(shí)別和偵測(cè)方法，要想徹底鏟除釣魚(yú)郵件，還得靠專(zhuān)業(yè)的郵件威脅檢測(cè)系統(tǒng)來(lái)發(fā)揮作用。奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)，采用多種病毒檢測(cè)引擎，結(jié)合威脅情報(bào)以及URL信譽(yù)庫(kù)對(duì)郵件中的鏈接和附件進(jìn)行惡意判定，并使用動(dòng)態(tài)沙箱技術(shù)、郵件行為檢測(cè)模型、機(jī)器學(xué)習(xí)模型發(fā)現(xiàn)高級(jí)威脅及定向攻擊郵件。

在多次實(shí)戰(zhàn)攻防演習(xí)(包括奇安信內(nèi)部舉行的防釣魚(yú)測(cè)試)中，該系統(tǒng)均能有效攔截釣魚(yú)郵件，可以有效識(shí)別出郵件的惡意正文、惡意鏈接，以及惡意附件，精準(zhǔn)發(fā)現(xiàn)諸如福利補(bǔ)貼、調(diào)查表填寫(xiě)、系統(tǒng)升級(jí)、銀行通知、賬戶驗(yàn)證等各類(lèi)釣魚(yú)郵件。一旦客戶的郵件中收到可疑郵件，奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)也可以通過(guò)電子郵件或短信提醒客戶，以便能夠及時(shí)采取行動(dòng)。

　在事后溯源階段，奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)還支持郵件數(shù)據(jù)快速檢索，能在第一時(shí)間統(tǒng)計(jì)出“惡意郵件都發(fā)給了誰(shuí)”，幫助企業(yè)快速定位受害者，縮小釣魚(yú)郵件影響面，降低所造成的損失。

　總結(jié)：

ChatGPT是一個(gè)令人印象深刻的人工智能工具，即使在網(wǎng)絡(luò)安全研究領(lǐng)域，它也有做很多好事的潛力。然而，就像任何技術(shù)一樣，居心不良者都會(huì)采用這樣的工具做壞事。在網(wǎng)絡(luò)攻擊中，釣魚(yú)郵件是黑客最常用、最低成本的攻擊方式，他們必然會(huì)結(jié)合ChatGPT這個(gè)“斂錢(qián)”工具不斷地對(duì)目標(biāo)客戶實(shí)施釣魚(yú)郵件攻擊。

面對(duì)海量的釣魚(yú)郵件攻擊，企業(yè)用戶首先要提高防患意識(shí)，否則一不小心便會(huì)掉進(jìn)黑客的郵件圈套;其次，也可以利用郵件威脅檢測(cè)系統(tǒng)來(lái)防范釣魚(yú)攻擊，同時(shí)還可以組織內(nèi)部釣魚(yú)演練，提高員工安全意識(shí)。ChatGPT爆火，但千萬(wàn)別讓釣魚(yú)郵件在企業(yè)內(nèi)部“狂飆”!