社会工程可以说是网络犯罪中最强大、最持久的形式之一。社会工程在网络罪犯中如此受欢迎是有原因的:黑客比破坏软件要简单得多。
要入侵软件网络,需要了解目标环境,以及如何撬开弱点和发现漏洞——这需要技术技能和资源。另一方面,入侵人类只需要基本的人性知识——我们对贪婪、欲望、好奇心和不耐烦的敏感性。
如果你黑对了人,也就是那些不知道网络钓鱼诱饵和蛛丝马迹的人,你就获得了通往王国的钥匙,而你的非法意图也不会被发现。
技术也发挥了作用。科技发展得越多,我们就越依赖科技。而且,欺骗人类也变得更容易了。
首先是电子邮件(网络钓鱼),然后是短信(钓鱼),然后是语音(钓鱼),然后是社交媒体,然后是二维码(钓鱼)。社会工程与技术同步发展。
突然兴起的人工智能技术浪潮使这些攻击媒介的复杂性达到了新的高度。让我们来看看五个即将到来的人工智能发展,以及它们对社会工程骗局的影响:
1. Professionalize和person大规模的网络钓鱼
根据谷歌云的研究,生成式人工智能已经被用于开发高级网络钓鱼攻击,这些攻击大多不存在拼写错误、语法错误和缺乏文化背景,这使得这些网络钓鱼更难识别和阻止。此外,使用自动化,攻击者可以个性化或定制网络钓鱼信息,使它们看起来更真实和令人信服。
2. 武器声音和视频的整理
人工智能技术使用户能够克隆音频、在视频上叠加人脸以及模仿人。世界各地都注意到说服性攻击,攻击者克隆音频并制造虚拟角色,通过自己的员工从组织那里骗取资金。
3. 更多的公司使用mlm的情境化攻击
标准llm(大型语言模型)只处理文本。与llm相比,mllm(多模态大型语言模型)具有很大的优势,因为多模态模型可以处理和关联其他媒体,如图像、视频、音频和感官数据。这使得人工智能工具能够建立更深层次的上下文意识,从而产生更智能的响应,改进推理和人机交互。攻击者可能很快就会利用mlm来创建高度情境化的网络钓鱼信息,从而显著提高社会工程攻击的效率。
4. 文本转视频技术的恶意应用
文本到视频(T2V)是人工智能领域的另一项新兴技术。顾名思义,T2V使用户只需提供文本输入即可创建高质量的视觉内容。这种技术在威胁行为者手中可能是危险的,用它来制造虚假的叙述(虚假信息)和大规模的深度伪造;欺骗个人和组织,并利用目标社会工程攻击。
5. 人工智能技术服务的出现
谷歌的报告预测,人工智能工具将很快作为一种服务提供给其他威胁行为者,帮助他们进行阴险的活动。像FraudGPT这样的恶意人工智能工具已经开始在暗网上出现,使网络罪犯能够制作复杂的鱼叉式网络钓鱼电子邮件。随着这些人工智能技术的成熟和变得更容易获得,不那么熟练的坏人将能够部署这些工具,从而产生更多的人工智能社会工程攻击。
企业如何降低人工智能引发的社会工程攻击的风险
社会工程攻击并不是大型企业所独有的。在员工少于100人的企业中工作的员工比在大型企业中工作的员工遭受的社会工程攻击要多350%。
更重要的是,随着人工智能技术的激增,企业的交易和互动更多地是数字化的,而不是物理的,这种攻击将变得司空见惯。以下是可以帮助减轻这种威胁的最佳实践:
1. 提高对人工智能风险的认识:必须通过定期沟通和提醒,让员工意识到新出现的人工智能风险。在安全政策中记录人工智能风险,以便员工了解如何识别它们,如何处理它们,以及在遇到威胁时可以联系谁。
2. 最终用户培训:定期(每月)安全意识培训的重要性再怎么强调也不为过。提供亲身培训,如有需要,提供个人化辅导,并进行网络钓鱼模拟演习,以加强员工的保安技能和能力。社会工程攻击的成败取决于员工的警觉性和教育。
3. 利用工具和技术:虽然社会工程攻击通常很难检测到,但组织可以实施控制来降低身份盗窃和欺诈的风险。例如,部署防网络钓鱼的多因素身份验证(MFA)来加强身份验证检查。企业还可以考虑使用基于人工智能的网络安全工具,这些工具可以检查电子邮件消息的元数据,以检测网络钓鱼企图的证据。
社会工程通常是网络攻击周期的第一阶段。如果组织学会利用通过反复的网络钓鱼练习培养的人类直觉,他们将能够在攻击造成实质性损害之前发现并阻止攻击。
除了培养正确的直觉,对员工来说,在报告可疑物品和事件时负责任和负责任也同样重要。为了实现这一目标,组织必须努力培养健康和支持性的网络安全文化。-论坛新闻服务公司
×
