导语:犯罪分子使用生成式AI工具发起商业邮件攻击。
犯罪分子使用生成式AI工具发起商业邮件攻击。
生成式AI用于BEC攻击
随着ChatGPT等人工智能技术的进步,为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型,可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者,增加攻击的成功性。
图 发送BEC的黑客指南
近日,在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言,也可以进行钓鱼或BEC攻击。
图 黑客论坛
黑客论坛还有关于ChatGPT类接口越狱的讨论,即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。
图 WormGPT
恶意攻击者创建了类似ChatGPT的定制模块,还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加,使得网络安全变得越来越具有挑战性。
WormGPT
WormGPT是一款基于GPTJ语言模型的人工智能模块,具备很多的功能,包括无限制字符支持、代码格式能力。
图 WormGPT示例
WormGPT称在不同的数据源上进行了训练,尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。
图 WormGPT数据源
研究人员利用WormGPT该工具进行实验,生成了一封欺骗账户管理员支付欺诈账单发票的邮件。
图 WormGPT创建的BEC攻击邮件
生成式人工智能技术应用于BEC攻击的优势
无语法错误:生成式人工智能技术生成的邮件一般没有语法错误,看起来像是合法的,减少了被标记为垃圾邮件的可能性。
降低准入门槛:使用生成式人工智能技术降低了发起复杂BEC攻击的准入门槛。即使攻击者能力不足也可以使用生成式人工智能技术生成垃圾邮件,并发起攻击。
本文翻译自:https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/如若转载,请注明原文地址