公布日期：2024-03-13 發布單位： 資訊科  
資安公司 SlashNext 的《2023釣魚狀況報告》顯示，網路犯罪份子已充分利用生成式人工智慧工具，導致釣魚攻擊大幅增加。報告指出，生成式AI的快速增長導致了釣魚攻擊的快速增加，使威脅行為者能夠修改惡意軟體中的程式碼，創建大量社交工程攻擊變體，並增加成功的可能性，這其中以帳號資訊網路釣魚攻擊上升967％最為明顯。這一令人擔憂的趨勢歸因於生成式AI工具，如ChatGPT，用於製作複雜且有針對性的商業郵件詐騙（Business Email Compromise，BEC）和其他釣魚郵件。

該研究以300多名北美資安專業人員作為訪問對象，調查顯示他們每天平均檢測到31,000起釣魚攻擊。約有46％受訪者報告遭遇BEC攻擊，77％的受訪者成為釣魚攻擊目標。生成式AI的快速增長導致了釣魚攻擊的快速增加，使威脅行為者能夠修改惡意軟體中的程式碼，創建大量社交工程攻擊變體，並大幅提升成功機率。社交工程攻擊變體指的是攻擊者使用多種不同的手法和策略，對社交工程攻擊進行變化和改良，添加難以被辨識的特徵，藉此提高攻擊的成功率。在這種情境下，攻擊者會不斷改變欺騙手法，使其更具迷惑性，更有效地欺騙目標人員。

SlashNext的執行長Patrick Harr強調了生成式AI對釣魚增長的影響，引用了FBI的《網際網路犯罪報告》，該報告指出2022年單單BEC已造成約27億美元的損失。報告強調了生成式AI驅動攻擊的複雜性，網路犯罪集團利用ChatGPT和WormGPT等工具發起BEC攻擊。

此外，還存在與AI「越獄」相關的新威脅，允許駭客巧妙地刪除生成式AI聊天機器人的合法使用限制。通過這種方式，攻擊者可以將像ChatGPT這樣的工具變成武器，欺騙受害者洩露個人資料或登錄憑證，進而導致更嚴重的侵入。

報告建議採取持續的最終用戶教育、利用基於機器學習的電子郵件篩選工具、定期測試和安全稽核，以及採用零信任策略來降低由AI生成的電子郵件攻擊成功率。

IBM的研究展示了ChatGPT可以有效地撰寫令人信服的釣魚郵件。一項A/B測試實驗表明，ChatGPT生成的電子郵件實現了11％的點擊率，與由人編寫的釣魚郵件的14％點擊率近乎相當。該研究突顯了生成式AI導致網路攻擊威脅的快速演變，並強調了針對這些複雜攻擊採取強大資安措施的必要性。

參考來源：TWNIC財團法人臺灣網路資訊中心