2023年6月23日,新加坡网络安全局(CSA)发布的《2022年新加坡网络全景报告》(以下简称《报告》)中显示,2022年新加坡网络应急响应小组报告了约8500起网络钓鱼企图,是2021年的两倍多。
那么什么是网络钓鱼?简单来说,网络钓鱼就是利用虚假身份和欺骗手段,通过网站、语音、短信、邮件、Wi-Fi等途径,诱导用户泄露用户名、密码、银行账户等个人敏感信息的一种网络攻击方式。
在人工智能(AI)迅速崛起的当下,AI是否会对网络钓鱼产生影响?成为很多人关注的热点话题。《报告》指出,随着人工智能变得越来越容易获得和先进,威胁行为者可能会利用这种技术进行恶意活动,例如发起高度针对性的鱼叉式网络钓鱼活动。面对这样的发展趋势,高校应如何迎战网络钓鱼攻击?
卡巴斯基的一份报告显示,2022年网络钓鱼的攻击数量超过5亿次,较2021年翻了一番。而且根据调研,近年来随着互联网的快速发展,网络钓鱼的攻击数量正逐年攀升。在这样的增长态势下,其背后的影响因素引人深思。对此,厦门大学信息与网络中心副主任郑海山认为,主要有下面两个原因:
第一,网络钓鱼对攻击者而言是投资回报率最高的攻击方式之一。随着《中华人民共和国网络安全法》的颁发和推广,我国各个单位的网络安全保障能力不断增强,一些较为简单的安全问题已经大大减少。然而,网络钓鱼往往从网络安全意识最薄弱的人员和环节下手,一旦中招,轻则部分账户名、密码失陷,重则直接突破各个单位的边界防护,获取集权系统权限。
第二,Al的发展与网络钓鱼数量、质量倍增存在一定联系。研究表明,有相当一部分攻击者在采用类ChatGPT的生成式人工智能(AIGC)工具来修复以往钓鱼内容的拼写和语法错误。并且在使用AIGC后,钓鱼内容越来越复杂,个性化程度也越来越高,愈加难以被识别。
具体来说,一方面,AIGC可以生成逼真的虚假信息,例如伪造电子邮件、社交媒体账号或网站,使其看起来与真实的组织或个人无异,使得网络钓鱼攻击更加难以辨别。另一方面,通过机器学习和自然语言处理技术,攻击者可以自动化生成大量的钓鱼邮件、信息或链接,并根据受害者的个人信息和行为习惯进行个性化定制,提高攻击的成功率。
最常见的网络钓鱼手段就是通过邮件诱骗用户中招,而钓鱼邮件事件一般又可分为三大类:
一是诈骗类,如黑客盗用高校邮箱发送主题为“整改补贴通知”“教职工补贴调整”的钓鱼邮件。邮件正文和附件带有诱导性话语,以骗取目标扫描附件中的二维码;二维码链接页面则伪装成微信登录界面,以骗取手机号和微信密码。
二是窃取敏感信息类,如黑客通过伪造“模拟高校项目邮件”在邮件附件中传播携带病毒程序的钓鱼邮件。邮件正文引导显示发件人名称与邮件主题和邮件正文均有关,具有非常高的伪装度。邮件诱导客户接收附件文件,附件链接压缩包携带病毒感染程序,以此进行病毒传播。
三是定向鱼叉类,如黑客盗用高校邮箱,群发钓鱼邮件给相关高校,通过邮件正文中的诱导性话语,诱骗目标点击链接盗取密码,或诱骗其运行附件,从而控制目标电脑终端,具有很强的欺骗性。
当前,无论是钓鱼邮件还是钓鱼网站、语音、短信等,AI的发展和应用,无疑会使这些信息更具说服力,从而增加用户被欺骗的风险。而且,随着新兴技术的不断迭代,网络钓鱼的手段还会持续增强。所以,当务之急是尽快探寻出能够有效预防网络钓鱼攻击的动态防护体系。
“目前,高校跟其他行业一样,主要面临两种类型的网络钓鱼攻击,一种是广撒网式的攻击,一种是非常有针对性的APT攻击。”郑海山表示,与其他行业不同的是,高校人员更替比较频繁,每年均有大量的毕业生离校和新生入校,所以网络安全意识培训工作的开展难度较大。厦门大学在应对网络钓鱼上主要开展了这些工作:
在邮件系统部署安全网关,识别并拦截钓鱼邮件,推广双因素认证和邮件客户端独立密码设置;
通过威胁情报,在边界对一些已知的威胁域名和IP进行拦截过滤;
提供网络安全意识培训,提高师生员工的网络安全素养;
提供正版化软件并推广使用,杜绝对Office、PDF、视频、图片等查看或编辑工具的CVE漏洞利用;
使用开源平台Gophish开展常态化反钓鱼邮件演练;
开展监测与应急响应工作。
郑海山表示,虽然学校做了很多工作,演练结果显示中招率也大大降低,但是网络钓鱼中招依旧不可避免。所以,未来学校还是要从做广、做深、做细上下功夫。具体可遵循以下三点:
首先,万变不离其宗,网络安全素养教育是关键。反网络钓鱼,归根结底是网络安全素养的提高教育。对此,高校先要培养师生识别网络钓鱼的能力,保证普适性的网络安全意识培训,并确保一些掌握较大权限的用户能够抵挡比较高级的钓鱼攻击。
在任何情况下,师生都应注意网址链接的正确性,不要随意在不可信网址链接内输入账户名、密码和个人信息,不随意打开可执行文件,包括但不限于.exe(可执行文件)、.scr(屏幕保护程序)、.bat(批处理文件)、.com(命令文件)、.cmd(脚本)、.ps1(Powershell脚本)、.vbs(VBScript脚本)等。
其次,双向思考,利用好Al工具。从攻击者角度思考,高校在开展反钓鱼邮件演练时,可以利用AIGC工具生成钓鱼邮件内容,提高反钓鱼邮件演练的效率和钓鱼邮件的真实性。
从防御者角度思考,高校可以借助AI工具分析网站的内容、域名等特征来检测和识别钓鱼网站,同时还可以分析用户的行为模式和习惯,识别潜在的钓鱼攻击。例如,通过监测用户点击链接的行为、输入敏感信息的习惯等,机器学习算法可以判断是否存在钓鱼行为,并采取相应的防御措施。
最后,变被动为主动。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。除了常态化防守外,学校可以适当考虑一些主动的对抗,比如引入邮件蜜罐系统。对于一些已经明显识别到的网络钓鱼攻击,学校可以主动投放一些诱饵到攻击者系统内,之后密切注意蜜罐信息,将攻击内容、来源IP等信息串联起来,一旦有诱饵触发了蜜罐,获取来源IP,并对浏览器指纹等信息进行阻断,也可反查溯源日志,识别其他受害者并进行应急响应。
总之,AI在网络钓鱼领域既是一种威胁,也是一种应对手段。随着技术的不断发展,网络安全领域需要不断创新和加强合作,以保护用户免受网络钓鱼攻击的威胁。
美国加州大学圣地亚哥分校:
2021年,美国加州大学圣地亚哥分校健康中心称,其IT系统遭到网络钓鱼攻击导致数据泄露。经调查,攻击者可能窃取了2020年12月2日至2021年4月8日间患者、员工和学生的个人信息,包括姓名、地址、出生日期、邮件、传真号码、身份证号码等。随后,该机构尽快采取行动,同时花大量时间搜集和排查受影响数据的准确信息。信息确认后,该机构表示将联系数据被泄露的个人,并为他们提供一年的免费身份盗用保护服务。
英国兰卡斯特大学:
采用多个级别的检查来尝试确定电子邮件的合法性。学校使用邮件系统中ISS检测到的垃圾邮件标签或网络钓鱼标签来识别可疑邮件,并允许收件人确认。ISS执行多项安全检查,以帮助阻止垃圾邮件、网络钓鱼和其他恶意内容。其中包括:一是通过SpamAssassin(垃圾邮件过滤器)的评分机制检查所有收到的电子邮件,以确定电子邮件是真实的还是垃圾邮件;二是在微软365高级威胁防护(ATP)中启用“安全链接”,为电子邮件中包含的外部链接提供额外保护;使用域阻止列表保护学校免受已被识别为隐藏网络钓鱼或其他恶意软件网站的攻击。
