網(wǎng)絡安全中人是最薄弱的環(huán)節(jié)，網(wǎng)絡安全專業(yè)人員所依賴的不是防火墻、入侵檢測系統(tǒng)或任何其他技術優(yōu)勢。

為什么說網(wǎng)絡安全中最薄弱的環(huán)節(jié)總是人呢?人們一遍又一遍地重復使用相同的密碼;當需要更新軟件時，也經(jīng)常會拖延;人們還會不經(jīng)意地點擊惡意鏈接，幫助入侵者訪問網(wǎng)絡。

生成式人工智能的興起可能會讓這最薄弱的環(huán)節(jié)變得更加脆弱，進行員工安全意識培訓是保護員工和企業(yè)免受詐騙的重要措施。

“人工智能使網(wǎng)絡釣魚詐騙更具欺騙性，公眾也更容易受到攻擊。聯(lián)邦貿(mào)易委員會報告稱， 2023 年，冒充詐騙竊取了超過 11 億美元，是 2020 年冒充詐騙的三倍。這些模仿行為得到了人工智能的支持”，IEEE會員Rebecca Herold表示，“這些也是當前技術很難克服的問題。企業(yè)必須定期培訓其員工和承包商，了解人工智能攻擊跡象和比較新策略，以保護企業(yè)的員工、客戶、知識產(chǎn)權(quán)和聲譽?！?/p>

社會工程學

你有沒有收到過一封看起來像是來自銀行的電子郵件，里面充滿了拼寫錯誤，這就讓你意識到了有些事情不對勁?或者稅務機關的電話要求立即支付只能通過電話支付的稅款?當你知道一個朋友不在那個國家時，他卻在社交媒體上聲稱被困在國外需要錢，你怎么辦?

這些都是社會工程學的形式，在某些網(wǎng)絡攻擊中經(jīng)常使用。

例如，在網(wǎng)絡釣魚攻擊中，攻擊者會發(fā)送熱門公司帶有虛假網(wǎng)頁鏈接的電子郵件，誘騙人們輸入登錄憑據(jù) —— 電子郵件不一定來自這家公司。同時，這種詐騙也不一定是電子郵件。各種形式的網(wǎng)絡釣魚攻擊可能包括短信。得益于生成式人工智能，攻擊者可以通過電話模仿另一個人的聲音，甚至通過視頻會議模仿他們的圖像。

了解目標

許多網(wǎng)絡釣魚活動不過是“釣魚探險”。攻擊者發(fā)送了數(shù)萬封欺詐電子郵件，以期有一兩個人上鉤。Spear phishing涉及對特定個人或團體的有針對性的攻擊。這需要提前進行大量的研究，以提高他們成功的機會。人工智能可以幫助他們了解公司中的重要關系，例如誰向誰報告，以及人們從事什么項目。

IEEE高檔會員Marcio Teixeira設想攻擊者以金融機構(gòu)為目標。

Teixeira解釋說:“攻擊者可以使用人工智能來分析社交媒體和專業(yè)網(wǎng)站，收集職位和個人興趣等細節(jié)。通過自然語言處理，他們可以創(chuàng)建模仿公司高管風格的電子郵件。這些電子郵件可能會提到最近的公司活動，并包括一個看似真實但實際虛假的公司門戶網(wǎng)站的鏈接，要求提供登錄詳細信息。一些電子郵件還可能附加惡意軟件，一旦打開，就會竊取敏感數(shù)據(jù)。人工智能會根據(jù)收件人的反應來優(yōu)化這些釣魚電子郵件，使每次新的嘗試更有可能成功?！?/p>

人工智能制造更智能的網(wǎng)絡騙局

由于非常具體的原因，使用生成式人工智能可能會使得發(fā)現(xiàn)網(wǎng)絡釣魚的方法變得更加困難。過去的網(wǎng)絡釣魚過程中往往充斥著拼寫錯誤和語法錯誤。然而，生成式人工智能可以幫助寫出語法正確的內(nèi)容，避免了拼寫錯誤。

Teixeira表示，公司可以采取一些措施來提高防御能力。他說，培訓可以提供關于網(wǎng)絡釣魚策略和比較新的人工智能生成騙局的教育，以識別網(wǎng)絡釣魚的跡象，如索要金錢或敏感信息。雇主還可以采用模擬釣魚練習來幫助員工練習識別和報告嘗試。

最后，公司需要有明確的報告機制，鼓勵員工立即報告可疑電子郵件。

他說:“在人工智能驅(qū)動的網(wǎng)絡威脅日益復雜的背景下，清晰的溝通和頻繁的培訓是有效的安全意識計劃的兩個關鍵組成部分?！?/p>

（推廣）