网络钓鱼攻击正通过生成式AI发展而变得更加隐蔽

关键要点

• 网络钓鱼攻击利用生成式AI手段变得更加复杂和多样化，攻击者正在将其活动从邮箱转向网络搜索结果。
• 尽管组织实施了安全意识培训，用户仍然更容易点击钓鱼链接，针对云应用的账户信息成为主要攻击目标。
• 生成的大型语言模型（LLMs）为攻击者提供了更高效的攻击手段，增强了钓鱼内容的语法准确性和针对性。


根据安全供应商Netskope的一份报告，尽管过去几年公司不断投入安全意识培训项目以教育员工如何识别和报告网络钓鱼尝试，但到2024年，企业用户进入钓鱼页面的可能性是前一年的三倍。

Netskope基于其安全网络网关和基于云的SASE平台收集的遥测数据发现，过去一年中，每1000名用户每月点击钓鱼链接的比例为8.4，而2023年是2.9。

“造成这种增加的主要原因是认知疲劳（用户持续受到钓鱼尝试的轰炸）以及攻击者在提供更难以检测的诱饵方面的创造性和适应能力，”该公司在其年度中表示。

大型语言模型（LLMs）的兴起几乎无疑对这一激增发挥了作用，攻击者现在可以轻松自动创建更加多样化、语法正确，并且针对每个组织的钓鱼诱饵。

通过搜索引擎结果进行钓鱼

在组织内，钓鱼检测培训的很大一部分集中于识别钓鱼电子邮件，但这并不是攻击者诱使用户点击虚假网站以窃取其凭据的唯一方式。

根据Netskope的数据，大多数钓鱼点击来源于网络的各个位置，搜索引擎是主要的来源。攻击者在运行恶意广告或使用所谓的以将恶意链接注入特定术语的顶级搜索引擎结果中非常成功。

其他主要钓鱼页面的来源包括购物、技术、商业和娱乐网站。攻击者将恶意链接投放在这些网站上的方式包括在评论区发表评论、购买恶意广告通过广告网络在这些网站上显示——这一技法被称为——或直接入侵网站，在页面中注入钓鱼弹窗。

“钓鱼来源的多样性展示了攻击者创造性的社会工程手段，”Netskope的研究人员写道。“他们知道受害者可能会对来自电子邮件的来信保持警惕（因为他们会被一再教导不要点击链接），但会更愿意点击搜索引擎结果中的链接。”

网络钓鱼攻击的主要目标是云应用的凭据，其中微软365是最受攻击的，占比42%，其次是Adobe DocumentCloud（18%）和DocuSign（15%）。许多钓鱼网站伪装成这些服务的登录页面，同时也提供与其他身份提供者的登录选项，包括Office365、Outlook、Aol或Yahoo。

“毫无疑问，LLMs在攻击者制作更具说服力的钓鱼诱饵上发挥了作用，”Netskope威胁实验室主任RayCanzanese告诉CSO。“LLMs可以提供更好的本地化和多样性，以尝试避开垃圾邮件过滤器，并提高欺骗受害者的概率。”

网络犯罪分子甚至创建了[专用的LLM支持聊天机器人](https://www.csoonline.com/article/564321/6-ways- hackers-will-use-machine-learning-to-launch-att