在线会议
论坛
专题
工控直播
新闻中心
子站
技术
社区
网络安全是一场持续的军备竞赛,随着防御策略的改进CONTROL ENGINEERING China版权所有,对手不断寻求技术来使其攻击更有效。需要了解的最重要的新趋势之一是人工智能(AI)驱动的网络钓鱼活动,其中网络犯罪分子使用AI制作引人注目的网络钓鱼电子邮件,以便溜入您的网络以窃取敏感数据或造成其他损害。
网络钓鱼仍然是最主要的攻击媒介,涉及74%的网络攻击,但随着公司改进其防御措施,网络犯罪分子正在加强他们的策略。一个关键因素是网络安全意识的提高:根据《2022年Netwrix云数据安全报告》,59%的企业现在定期进行网络安全培训。因此,企业用户不太可能成为基本的网络钓鱼技术的受害者,特别是充满拼写错误、或关于财富无稽之谈的电子邮件。
面对这种防范意识的提高,为了提高攻击的成功率,网络犯罪分子现在正在使用AI来创建高度针对性和个性化的攻击,用户更难将其识别为网络钓鱼,以增加其点击恶意链接或打开受感染附件的几率,使他们能够在企业网络中站稳脚跟。
Zscaler公司近日发布了其《2023年ThreatLabz网络钓鱼报告》的调查结果。该报告从全球最大的在线安全云中查看了12个月的全球网络钓鱼数据,以确定最新趋势、新兴战术以及哪些行业和地区受网络钓鱼攻击的影响最大。
该报告发现,大多数现代网络钓鱼攻击都依赖于被盗的凭证,并概述了来自中间人攻击(AitM)的日益增长的威胁、对星际文件系统(IPFS)的更多使用,以及对来自黑市的网络钓鱼工具包和ChatGPT等AI工具的依赖。
使用 AI 为网络钓鱼攻击提供支持
"网络钓鱼仍然是网络犯罪分子利用来破坏全球组织的最普遍的威胁载体之一。与去年相比,我们继续看到网络钓鱼攻击的数量在增加,其性质变得更加复杂。威胁者正在利用网络钓鱼工具包和AI工具,大规模地发起高效的电子邮件、SMiShing和Vishing活动。"Zscaler全球首席执行官兼安全主管Deepen Desai说。
钓鱼网站即服务(Phishing-as-a-Service) 的增长带来了AitM攻击的增多,使攻击者能够绕过传统的安全模式,包括多因素认证。为了保护他们的环境,企业应该采用零信任架构,以大大减少攻击面,防止妥协,并在攻击成功时减少爆炸半径。基于云原生代理的零信任架构对于组织防御不断发展的网络钓鱼攻击至关重要。
为高级对话式 AI 设计的工具(如 ChatGPT)正越来越多地用于广泛的任务,从撰写论文到开发和测试应用程序代码。事实上,ChatGPT 的免费版本提供了重要的功能,付费版本提供了更强大的功能。黑客可以通过多种方式滥用此类基于 AI 的工具,包括:
· 创建恶意代码
如果黑客明确要求 ChatGPT 提供恶意代码来执行网络钓鱼攻击,它将拒绝,但他们仍然可以使用该工具请求有用的代码块。因此,黑客不再需要丰富的编程经验来创建强大的恶意活动;他们只需要一些基本的黑客技能来组装AI工具为他们生成的代码片段。
例如,他们可以创建一个恶意脚本,并将其插入到易受攻击网站的 HTTP 或 PHP 代码中。当用户访问该页面时,该脚本可以直接在其计算机上安装恶意软件,或将其重定向到黑客建立的虚假站点。当显示电子邮件或弹出窗口时,也会发生这种"隐形下载"。请注意,用户甚至不需要单击下载按钮或打开恶意附件即可被感染。
新的AI技术和ChatGPT等大型语言模型的出现,使网络犯罪分子更容易生成恶意代码、商业电子邮件破坏(BEC)攻击和开发多态恶意软件,使受害者更难识别网络钓鱼。
恶意行为者也越来越多地将他们的钓鱼网页托管在InterPlanetary File System(IPFS)上,这是一个分布式点对点文件系统,允许用户在分散的计算机网络上存储和共享文件。由于IPFS的点对点网络方面的原因控制工程网版权所有,要删除托管在IPFS中的钓鱼网页要困难得多。
· 炮制有针对性的消息
此外,像 ChatGPT-4 这样的工具现在已经完全连接到互联网,因此它们可以快速提供有关潜在被攻击者的详细个人信息,例如他们的兴趣和亲属的姓名。长期以来,黑客一直在从社交媒体手动收集此类信息,以创建更具针对性的网络钓鱼电子邮件,但AI工具使这项工作比以往任何时候都更容易。如今,这些消息不仅通过电子邮件发送,还可以通过SMS文本发送,称为短信钓鱼活动。
在LinkedIn和其他工作招聘网站上的招聘诈骗也在增加。不幸的是,在2022年,硅谷的许多大企业做出了裁员的艰难决定。因此,网络犯罪分子利用虚假的招聘信息、网站、门户网站和表格来吸引求职者。受害者往往会经历整个面试过程,有些人甚至被要求先购买用品,以后再报销。
网络犯罪分子在冒充流行的消费和技术品牌时通常容易取得成功。微软再次成为今年被模仿最多的品牌,占攻击的近31%,因为攻击者通过网络钓鱼访问受害组织的各种微软企业应用程序。加密货币交易所币安占模仿品牌攻击的17%,网络钓鱼者冒充银行或P2P公司的虚假客户代表。像Netflix,Facebook和Adobe这样的大品牌跻身前20名最容易被模仿和网络钓鱼的品牌。
· 创建深度伪造
最后,现在的网络钓鱼绝不仅限于书面文字。另一种变体涉及语音通话。恶意行为者假装成其他人,例如银行代表或 IT 支持人员等,以诱骗受害者泄露敏感信息,甚至放弃对其机器的控制权。
先进的AI技术正在被用于使网络钓鱼活动更有效。它使恶意行为者能够录制某人的声音,并创建令人信服的虚假录音,让他们说完全不同的话。例如,黑客可以使用公司高管在会议上的谈话录音来创建虚假录音发送给员工,指示他们立即将资金转移到黑客控制的账户。
网络钓鱼或以语音邮件为主题的网络钓鱼活动是从SMS或SMiShing攻击演变而来的。攻击者在这些网络钓鱼攻击中使用行政团队的真实语音片段,留下这些预录信息的语音邮件。然后,收件人会受到压力而采取行动,如转账或提供证书。许多总部设在美国的组织已经成为使用网络钓鱼攻击的目标。
防御不断发展的网络钓鱼攻击
针对所有这些网络钓鱼活动的最重要的防线与以往相同控制工程网版权所有,那就是用户。对业务用户进行最佳的网络实践教育,培训他们发现恶意活动并鼓励他们保持警惕仍然至关重要。特别是,培训他们始终质疑紧急行动呼吁,并通过不同的沟通方式核实请求的来源和合法性。
此外,提示员工定期从其设备中删除所有过时或未使用的应用程序和插件。机器托管的软件越多,可以利用的漏洞就越多。
但是,针对网络钓鱼的强大防御并不完全取决于用户。在幕后,IT 团队应使用可以分析活动模式,及时发现可疑行为,并实现及时响应以防止严重损害的工具密切监控其系统。
网络犯罪已成为一门"生意"。像任何其他商业模式一样,网络犯罪分子寻求以最小的努力尽快实现利润最大化的方法。因此,您越难让他们渗透到您的 IT 环境中,他们就越有可能决定切换到更容易的受害者。阻止 AI 驱动的网络钓鱼活动是该防御策略的关键部分。但是,您还需要采取有效的安全措施来发现正在进行的威胁并及时响应,以最大程度地减少对组织的影响。
积极应对和实施零信任架构
由于普通企业每天都会收到网络钓鱼电子邮件,恶意软件和勒索软件攻击造成的财务损失可能会迅速增加同比的 IT 成本。想要解决上面报告中概述的所有威胁是一项艰巨的工作控制工程网版权所有,虽然无法完全消除网络钓鱼威胁的风险,但企业的 IT 和安全团队可以积极从观察到的事件中学习。Zscaler公司建议企业采取以下措施来更好地管理网络钓鱼风险:
·了解风险,以便更好地为政策和战略提供信息;
· 利用自动化工具和威胁情报减少网络钓鱼事件;
· 实施零信任架构以限制成功攻击的爆炸半径;
· 及时提供培训www.cechina.cn,以建立安全意识并促进用户报告;
· 模拟网络钓鱼攻击以识别程序中的差距。
爱德克工业安全产品八大“金刚”有奖试用
福禄克ThermoView TV30在线式热像仪
FOTRIC(飞础科)红外热像仪试用体验活动
【看视频赢礼品】钢铁行业数字化解决方案
新一代HMI的力量——HMI/SCADA系统的现代化
