Help net security發佈了一篇人類在製作網路釣魚電子郵件方面仍然比人工智慧更好,但能持續多久呢?
釣魚郵件是一種常見的網路攻擊手法,目的是利用偽裝成可信任的發件人或主題,誘騙收件人點擊惡意連結、下載惡意附件或提供敏感資訊。釣魚郵件的成功與否,很大程度上取決於郵件的內容是否能夠說服收件人採取行動。
隨著人工智慧(AI)技術的發展,特別是大型語言模型(Large Language Models, LLMs)的出現,AI是否能夠像人類一樣,或者甚至更勝一籌地製造出有效的釣魚郵件呢?IBM X-Force Red的研究人員就對此進行了一項實驗。
實驗方法
研究人員選擇了一種基於LLMs的AI工具,名為ChatGPT,來生成釣魚郵件。ChatGPT是一種能夠根據給定的提示(prompt)產生自然語言文本的AI工具。研究人員使用了五個提示來引導ChatGPT生成釣魚郵件,分別是:
- 定義目標行業員工最關心的領域
- 選擇最有可能提高釣魚郵件效果的社會工程學和行銷技巧
- 選擇最合適的發件人身份
- 撰寫釣魚郵件的主旨
- 撰寫釣魚郵件的正文
與此同時,X-Force Red的社會工程師也使用開放源碼情報(OSINT)技術來收集有助於選擇發件人身份和設計誘因(lure)的資訊,並手動撰寫了一封釣魚郵件。值得注意的是,ChatGPT只花了五分鐘就生成了釣魚郵件,而社會工程師則花了16小時。
實驗結果
為了比較兩種釣魚郵件的效果,研究人員將它們分別發送給了一家全球性健康組織的800多名員工。結果顯示,由人類撰寫的釣魚郵件略勝一籌,但差距非常微小。具體來說,由人類撰寫的釣魚郵件有更高的點擊率和更低的舉報率,而由AI生成的釣魚郵件則有更高的開啟率和更低的拒收率。
研究人員分析了造成這些差異的原因,並指出了人類和AI在製造釣魚郵件方面各自的優勢和劣勢。總體而言,人類比AI更能夠理解情感,並且更擅長編織能夠引起共鳴和信任的故事。人類也更能夠根據收件人的個性和喜好,對郵件進行個性化的調整。人類還能夠寫出更不容易引起懷疑的主旨,例如使用問句或感嘆詞。
相反,AI則有著更快的速度和更大的規模。AI能夠在短時間內生成大量的釣魚郵件,而不需要花費人類的時間和精力。AI也能夠根據不同的提示,生成不同風格和主題的釣魚郵件,從而增加釣魚攻擊的多樣性和覆蓋面。
綜上所述,這項實驗表明,人類在製造釣魚郵件方面仍然略勝於AI,但這種優勢可能不會持久。隨著AI技術的不斷進步,AI可能會在未來超越人類,或者至少與人類達到同等水平。因此,我們需要提高對AI釣魚攻擊的警惕性和防範能力,並且不斷更新我們的安全意識和防護措施。
詳情請看:
Humans are still better than AI at crafting phishing emails, but for how long?