文章主题:AI检测器, ChatGPT, 网络钓鱼, 钓鱼邮件

666AI工具大全,助力做AI时代先行者!

原标题:最新报告:71%的AI检测器无法检测出ChatGPT撰写的钓鱼邮件

近期,Egress邮件安全公司发布了一份《2023年网络钓鱼威胁趋势报告》,深入剖析了至今为止的网络钓鱼各类趋势。该报告不仅回顾了今年最为常见的钓鱼主题,同时也对未来发展趋势进行了预期,深度探讨了网络犯罪分子常用的绕过边界防御机制的混淆技术,以及聊天机器人在网络钓鱼中的潜在影响。

聊天机器人真的彻底改变了网络钓鱼吗?

在2023年,网络犯罪分子利用大型语言模型(LLM)实施攻击的现象成为了焦点,引发了广泛关注。然而,这种现象是否真正改变了游戏的规则,仍需深入探讨。

在2022年的11月份,ChatGPT的问世引领了人工智能竞赛的新篇章,自此以后,媒体领域充满了有关这一技术最新进展和实际应用的新闻报道,特别是在网络安全领域。

如同众多创新技术一样,大型语言模型的运用权限取决于操作者——网络罪犯往往利用聊天机器人为网络钓鱼和恶意软件攻击提供可能,这一现象引发了广泛关注。《2023年电邮风险报告》显示,有72%的网络安全专家对使用聊天机器人推动网络钓鱼攻击感到忧虑。

但这在现实中有多大可能呢?

1. LLM降低了网络犯罪的准入门槛

在记忆中的某个时刻,网络钓鱼邮件通过低级语法、拼写错误以及荒诞的请求就能够轻易地被识别出来。在ChatGPT出现之前,这类攻击相对简单,主要得益于网络犯罪的商品化和犯罪网络的增长。此外,犯罪生态系统(如网络钓鱼工具包和预制的恶意软件等产品)的发展也使得这类攻击的数量不断上升。

随着LLM技术的不断发展,网络犯罪的入门门槛不断降低,使得各类技能层次的犯罪分子都有可能制造出高效网络钓鱼和恶意软件。对于那些缺乏经验、编程能力有限或无法熟练运用目标语言的网络罪犯来说,这一现象的影响尤为显著。

在众多人工智能技术中,LLM可能最为担忧人担忧却较少被提及的应用之一便是侦查高度针对性的攻击。仅仅需短短几秒钟,聊天机器人就能从互联网上迅速搜集到针对特定目标的开放性情报(OSINT),进而应用于社会工程手段中。

此外,LLM可以提高攻击速度,比人更快地创建更大的攻击量(图1)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

图1展示了两个典型的419骗局案例,它们分别采用两种截然不同的策略。首先展示的是一个较为直观的方法,大部分受害者都能轻易地识别出这种攻击方式;其次,我们还将目光投向那些更容易受到侵害的受害者,他们需要预先支付一笔不小的款项,才能避免陷入更大的损失。这两种策略各具特点,但目标都是为了骗取受害者财物。

2. 假托(Pretexting)VS 有效载荷:社会工程邮件有多普遍?

威胁情报分析人员将网络钓鱼邮件的字符长度与其有效载荷相关联。为此,他们分析了170万封网络钓鱼邮件,以确定它们是否包含网络钓鱼链接或基于附件的有效载荷,或者它们是否“无有效载荷”(payloadless),仅依赖于社会工程。

数据显示,少于100个字符的网络钓鱼邮件有90%的可能性包含附件作为有效负载。钓鱼网站的链接在100 – 1199个字符之间最为普遍。字符长度在1500个或更多(大约200 -375个单词之间)时,攻击更有可能依赖于社会工程。

在附件和社会工程之间也有一个“接力棒传递”(baton pass),大约有500 – 1300个字符,将欺诈性附件和社会工程结合在一起,成为复杂的商业邮件欺诈(BEC)攻击的一部分。这是有道理的,毕竟攻击时间越长,就越有可能有复杂的假托来说服目标采取所请求的行动(见图2)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图2:邮件文本长度和有效负载类型之间的相关性】

到目前为止,2023年社会工程的流行程度略有增加。通过分析2022年1月至12月期间各组织收到的网络钓鱼邮件,威胁分析师发现,17.98%的网络钓鱼邮件仅依赖于社会工程。在2023年1月至9月期间,这一数字上升至19.01%。通常,社会工程策略会与不同的有效负载相结合(见图3)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图3:仅依靠社会工程的网络钓鱼邮件数量】

组织是否该担心LLM和网络钓鱼?

这一切都取决于组织的防御能力。如果组织仅依靠传统的基于签名和声誉的边界检测,那么是时候部署云电邮安全(ICES)解决方案了,它不依赖于定义库和域名检查来确定邮件是否合法。相反地,ICES将人工智能交到防御者手中,使用自然语言处理(NLP)和自然语言理解(NLU)等模型来分析邮件内容,以寻找网络钓鱼的语言标记。这些解决方案还使用机器学习来检测带有零日和新兴恶意软件负载的网络钓鱼邮件。

最终,网络钓鱼(而非LLM)仍然是主要的压力源。攻击是由人类还是机器人编写的并不重要,重要的是组织的防御系统能否检测到它。

然而,遗憾地是,有44.9%的网络钓鱼邮件不符合250个字符的限制,还有26.5%的邮件低于500个字符,目前人工智能探测器要么不能可靠地工作,要么根本不能处理71.4%的攻击。

隐藏在众目睽睽之下

数据显示,超过一半(55.2%)的网络钓鱼邮件包含混淆技术,以帮助网络罪犯逃避检测。

到目前为止,使用混淆技术的网络钓鱼邮件比例在2023年跃升了24.4%,达到55.2%。混淆使网络犯罪分子能够在某些检测机制中隐藏他们的攻击行为。

混淆技术

下面是报告中所涉混淆技术的简单概述:

从左到右覆盖(Left-to-right override,LTRO):用于在正文副本中伪装附件类型或欺骗NLP检测的技术。
空格:在白色背景上使用白色字体来伪装邮件中的字符。
同形字:一种欺骗形式,使用相似或相同的字符或利用UNIcode来模仿拉丁字符。
基于图像的攻击:邮件的正文是图片,没有文字。
劫持合法超链接:攻击者在合法网站上承载恶意负载或使用合法网站链接伪装最终目的地。
HTML走私:在HTML附件中“走私”一个编码的恶意脚本。
编码:检测技术无法读取附件中的内容。

几乎一半(47.0%)使用混淆的网络钓鱼邮件包含两层内容,以增加绕过邮件安全防御的机会,确保邮件成功发送给目标收件人。不到三分之一(31.0%)的邮件只使用了一种混淆技术。剩下的21.2%使用了三层或更多层(见图4)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图4:包含不同混淆层的钓鱼邮件比例】

在网络罪犯与防御者无休止地攻防大战中,随着检测能力不断适应更新的攻击,混淆技术的受欢迎程度起起伏伏。在2023年迄今为止的钓鱼邮件中,HTML走私被证明是最受欢迎的混淆技术,占比34.0%。劫持合法超链接是第二受欢迎的攻击(占17.0%),基于图像的攻击排名第三(占13.0%)。

自2022年以来,HTML走私和基于图像的攻击的受欢迎程度都大幅上升:其中,基于图像的攻击几乎翻了两番,HTML走私几乎翻了三倍。这些技术都是高度规避性的,能够有效绕过传统的基于签名的边界检测。在HTML走私攻击中,有效负载被看似无害的html5和JavaScript掩盖,并在交付完成后重组。基于图像的攻击从邮件中删除所有字符,只留下一个超链接供基于签名的检测扫描。当与被劫持的合法超链接或尚未列入黑名单的钓鱼网站配对时,攻击将会顺利通过边界检测。

另一方面,与2022年相比,2023年1月至9月期间,网络钓鱼邮件正文副本中的LTRO和空格技术的使用有所下降。因为这些技术无法得到进一步发展,一旦检测能力能够识别它们,它们的回报率和流行度都会下降(见图5)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图5:2022年与2023年主要混淆技术受欢迎程度的变化】

混淆最常用于伪冒攻击

基于伪冒的攻击最有可能使用多种类型的混淆技术,例如23.5%的网络钓鱼邮件冒充已知公司(如客户或供应商)。紧随其后的是冒充邮递员的误传攻击(22.6%),未接语音邮件(21.2%),以及不属于供应链的流行组织的品牌冒充(19.5%)(图6-8)。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图6:DHL冒充空白和NLP破坏攻击。攻击包含白色背景上的白色字符,但只留下黑色文本可见】

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图7:DOCUSIGN品牌冒充攻击,劫持合法超链接,意图将目标重定向到钓鱼网站】

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图8:基于图像的攻击冒充微软。该图片被超链接到一个冒充微软的凭据收集网站】

灰色邮件

一般来说,灰色邮件顶多只是一种干扰。但在最坏的情况下,它会增加网络钓鱼的风险。

为了了解灰色邮件是如何影响网络安全的,研究人员分析了一组公司在四周内收到的1.638亿封邮件。他们发现,平均有三分之一(34%)的邮件流可以归类为灰色邮件(涉及通知、更新和促销信息等)。

人们收到灰色邮件的概率取决于他们所从事的行业和工作。数据显示,收到最多灰色邮件的是人力资源、招聘、营销、法律、财务和教育部门的组织,以及从事财务、人力资源、客户服务和办公室管理工作的个人。

而就时间而言,周三和周五是一周中最常发送/接收灰色邮件的日子。(见图9)

灰色邮件对网络安全意味着什么?

1. 更多的灰色邮件=更多的网络钓鱼邮件

研究人员发现,收到的灰色邮件和网络钓鱼邮件数量之间存在直接关联。灰色邮件数量最多的5个行业中,有4个行业收到的钓鱼邮件数量最多,只有教育和零售业例外。

收到灰色邮件钓鱼邮件数量排名前五的行业:

人力资源;
市场营销;
法律;
金融;
教育

收到网络钓鱼邮件数量排名前五的行业:

人力资源;
法律;
金融;
市场营销;
零售。

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

【图9:一周中每天平均灰色邮件量占邮件总流量的百分比】

严重依赖电邮进行沟通的组织将不可避免地遭遇灰色邮件,这种严重依赖也使它们成为网络罪犯的主要目标。近年来,模仿灰色邮件(例如SharePoint和社交媒体通知)的伪冒攻击有所增加。此外,在发送灰色邮件的组织中,任何泄露客户详细信息的行为都可能导致邮件地址列表被出售或转储到网上,并被用于后续攻击。

2. 增加管理负担

灰色邮件的一个问题是,尽管是主动发送的,但许多收件人认为它很讨厌,他们可能会忘记自己订阅了什么,或者收到比预期更多的邮件。因此,员工的邮箱里可能充斥着灰色邮件和其他“无害”的垃圾邮件,给管理员带来更多管理负担,同时也推迟了他们对合法举报的钓鱼邮件采取行动的时间。

解决灰色邮件网络风险的建议

过滤灰色邮件将减少员工邮箱中的噪音,这不仅提高了效率,而且对网络安全也有好处。随着进入收件箱的灰色邮件越来越少,被错误地报告到滥用邮箱的邮件也越来越少,这意味着管理员可以花更多的时间来评估和分类真正的网络钓鱼邮件。

此外,组织应该思考他们教育员工网络钓鱼风险的方法。除了常规训练之外,动态banner也可以添加到入站电邮中,使用中立的网络钓鱼邮件提供持续、及时和相关的教育。这种方法被证明可以提高人们准确报告网络钓鱼邮件的能力。

结语

随着威胁的发展,网络安全行业需要共同努力来管理电邮的人为风险。希望本网络钓鱼威胁趋势报告可以帮助组织了解网络钓鱼攻击趋势的变化,并重新思考如何调整防御措施的关键因素。

原文链接:

https://www.egress.com/media/mq4kwitu/egress_phishing_threat_trends_report.pdf

本文作者:晶颜123, 转载请注明来自FreeBuf.COM返回搜狐,查看更多

责任编辑:

AI检测器, ChatGPT, 网络钓鱼, 钓鱼邮件

《2023网络钓鱼威胁趋势报告:ChatGPT带来的新挑战》

AI时代,拥有个人微信机器人AI助手!AI时代不落人后!

免费ChatGPT问答,办公、写作、生活好得力助手!

搜索微信号AIGC666aigc999或上边扫码,即可拥有个人AI助手!