犯罪分子使用生成式AI工具发起商业邮件攻击。

生成式AI用于BEC攻击

随着ChatGPT等人工智能技术的进步，为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型，可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者，增加攻击的成功性。

图 发送BEC的黑客指南

近日，在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言，也可以进行钓鱼或BEC攻击。

图 黑客论坛

黑客论坛还有关于ChatGPT类接口越狱的讨论，即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。

图 WormGPT

恶意攻击者创建了类似ChatGPT的定制模块，还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加，使得网络安全变得越来越具有挑战性。

WormGPT

WormGPT是一款基于GPTJ语言模型的人工智能模块，具备很多的功能，包括无限制字符支持、代码格式能力。

图 WormGPT示例 

WormGPT称在不同的数据源上进行了训练，尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。

图 WormGPT数据源

研究人员利用WormGPT该工具进行实验，生成了一封欺骗账户管理员支付欺诈账单发票的邮件。

图 WormGPT创建的BEC攻击邮件

生成式人工智能技术应用于BEC攻击的优势

无语法错误：生成式人工智能技术生成的邮件一般没有语法错误，看起来像是合法的，减少了被标记为垃圾邮件的可能性。

降低准入门槛：使用生成式人工智能技术降低了发起复杂BEC攻击的准入门槛。即使攻击者能力不足也可以使用生成式人工智能技术生成垃圾邮件，并发起攻击。

文章来源：嘶吼专业版

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END