趨勢科技:明年請小心生成式 AI 產生的社交工程!
以 ChatGPT 為首的生成式 AI 應用潛力無限,但反過來說,用在駭客攻擊、網路詐騙同樣也令人擔憂。台灣資安廠商趨勢科技今天發表《2024 資安年度預測報告》,明確指出在生成式 AI 協助下, 例如變臉詐騙、魚叉式網路釣魚等網路詐諞能力已大幅提高!
趨勢科技指出生成式 AI 可以生成真實度更高的人臉、經歷以及對話能力,讓網路詐騙釣餌更具吸引力,得手機會大幅提升。根據 FBI 指出社交工程技巧網路犯本來就是受害者數量最多的犯罪、也是最賺錢的手法之一,預期 2024 年駭客會結合更多元的 AI 工具(例如聊天機器人、偽造語音相互搭配),製造出如虛擬綁架更多重面向的威脅。
像是今年出現的駭客版 ChatGPT「WormGPT」,以及後來出現的 WolfGPT、FraudGPT 都屬此類,WormGPT、WolfGPT 可產生可用於實施網路犯罪的文字、程式碼和其他資料格式,FraudGPT 則是直接生成一個非常擬真的詐騙網頁誘人點擊。
另外生成式 AI 本身的安全性也是越來越嚴重的問題,大型語言模型(LLM)本身更容易遭遇「資料下毒」(data poisoning)。資料下毒簡單來說就是透過竄改學習資料,或是直接入侵模型的資料庫或流程架構內來惡意操弄 LLM 的表現與行為,除了更容易生成有問題、充滿惡意的內容之外,還更可能導致 LLM 洩漏出機密資料。
除了生成式 AI 之外,趨勢科技也預測「蠕蟲自動化攻擊」會成為接下來駭客集團找到系統漏洞,攻擊雲端的首選武器,像今年微軟 Azure AD 傳出存在 OAuth 漏洞,或是上個月還有駭客透過 GitHub 曝露的 AWS 帳密進行 EleKtra-Leak 攻擊。駭客只需成功攻擊出雲端一個漏洞,就能在雲端內迅速蔓延,並利用已感染的雲端原生工具攻擊更多受害者,被自動化收集企業機敏資料、建立龐大的幕後操縱(C&C)伺服器通訊,甚至發動大規模分散式阻斷服務(DDos)攻擊等。