人工智能驱动的多态网络钓鱼正在改变威胁格局

多态网络钓鱼是一种高级形式的网络钓鱼活动，它会随机化电子邮件的组成部分，例如内容、主题行和发件人的显示名称，从而创建几封几乎完全相同、仅存在细微差别的电子邮件。结合人工智能 (AI) 技术，多态网络钓鱼电子邮件已变得高度复杂，能够创建更加个性化和隐蔽的消息，从而提高攻击成功率。在我们分析的所有网络钓鱼电子邮件中，82% 都使用了某种形式的人工智能，同比增长 53%。

传统的检测系统会根据钓鱼邮件的共性（例如有效载荷或发件人的域名）将钓鱼邮件归类，以提高检测效率。而网络犯罪分子利用人工智能，可以进行多态钓鱼活动，这些活动具有微妙但具有欺骗性的变体，可以规避黑名单、静态签名、安全邮件网关 (SEG) 和原生安全工具等安全措施。例如，网络犯罪分子会通过添加额外的字符和符号来修改邮件主题，或者更改文本的长度和格式。

大多数多态网络钓鱼攻击使用被入侵的账户（52%），其次是网络钓鱼域（25%）和网络邮件（20%）来发送可以绕过域名身份验证检查的网络钓鱼电子邮件。

到 2027 年，将单个攻击分组为活动以提高检测效率的标准方法将变得不再适用。组织需要找到替代方法来检测不依赖于阻止列表且可以识别最高级攻击的多态网络钓鱼活动。

人工智能驱动的多态网络钓鱼攻击正在加剧风险

人工智能在多态网络钓鱼攻击的扩散和危险性增加中的作用日益明显。以下是人工智能模型增强多态网络钓鱼攻击的一些方式：

绕过传统防御：人工智能驱动的多态网络钓鱼活动使用先进的规避技术，例如动态 URL、有效载荷调整或传送方式修改，以逃避安全检测，并通过从失败的网络钓鱼尝试中学习来不断调整策略以绕过防御。

动态电子邮件内容：人工智能可以通过为每个收件人创建不同的电子邮件内容来防止两封电子邮件重复。这使得安全工具（例如安全电子邮件网关 (SEG)）难以识别用于检测网络钓鱼攻击的模式或签名。

增强个性化：人工智能可以快速搜索大量公共数据以查找受害者信息，例如社交媒体资料和消息、在线帐户和受损数据库，以生成高度定制的网络钓鱼电子邮件。

持续自适应：基于人工智能的多态网络钓鱼攻击可以根据受害者的行为、动作或偏好实时调整，修改内容或其操作，从而成功发起攻击。例如，如果受害者点击链接但未填写要求输入凭证的字段，人工智能可能会发送一条可信的后续消息，以建立信任或营造紧迫感。

增强说服力：人工智能能够制作令人信服的个性化电子邮件，这些电子邮件可以紧密模仿值得信赖的个人或组织的语气和风格，使其感觉真实，并且更有可能欺骗收件人。

鱼叉式网络钓鱼：攻击者利用人工智能 (AI) 攻击那些能够访问敏感数据并控制关键系统的高价值目标。AI 会扫描受害者角色、兴趣和沟通风格的公开数据，从而发送个性化且令人信服的消息。在这种情况下，发件人可能是已知联系人，在钓鱼邮件中提及特定项目或紧急任务。有时，邮件中还会附加通过深度伪造技术 (deepfakes) 生成的合成语音或视频消息。攻击者会通过各种渠道发送后续邮件，以营造合法性和紧迫感。

防范基于人工智能的多态网络钓鱼

正如人工智能推动了多态网络钓鱼的进化一样，它也可以用来构建针对此类威胁的防御策略。以下是一些有效的策略：

确保电子邮件安全：使用SPF、DKIM和DMARC等电子邮件身份验证协议验证发件人的真实性。基于人工智能的防御系统利用自然语言处理 (NLP) 和模式识别技术，分析电子邮件的结构和内容，从而识别垃圾邮件中的合法邮件。

保持安全系统更新：定期更新您的安全控制，例如电子邮件保护和其他相关系统，以随时应对新出现的威胁。

培训员工安全意识：使用模拟平台，在类似现实的环境中培训员工如何应对多态网络钓鱼攻击。这将使员工能够更容易地识别多态网络钓鱼并立即报告。

实施严格的访问控制：使用多因素身份验证，在访问敏感数据和系统时提供额外的安全保障。采用最小权限访问方法，根据员工的具体角色和需求限制对关键系统和敏感数据的访问。

建立强大的安全文化：鼓励员工立即向 IT 安全团队报告安全事件或可疑电子邮件，无需担心受到指责或报复。通过告知用户情况和已采取的措施，安全团队可以营造一种信任和团队合作的文化。这将有助于持续保持安全警惕，防范攻击。

人工智能防御：利用自然语言处理和异常检测等技术，主动防御欺骗性攻击，在威胁发生时予以阻断。人工智能防御系统不断从新数据和事件中学习，提升检测能力，保护组织免受新出现的威胁。通过关联来自电子邮件和网络活动、用户终端和服务器的数据，它们能够洞察更宏观的威胁形势，从而应对眼前的威胁和潜在的漏洞。

基于人工智能的多态网络钓鱼攻击能够不断演变、定制并绕过电子邮件网关，这标志着网络安全威胁领域的一次范式转变。通过利用人工智能构建复杂的防御技术，并加强员工意识和教育，企业可以有效抵御这一新威胁。