到 2024 年,网络犯罪分子将拥有大量工具来诱骗互联网用户。卡巴斯基、迈克菲、WatchGuard Technologies、ESET 和 Proofpoint 的研究人员表示,黑客将主要依靠生成式人工智能、深度伪造、二维码和网络钓鱼来攻击受害者……
随着年底的临近,安全专家列出了 2024 年互联网用户面临的主要威胁。证明点,来年也将以外观为标志甚至更复杂的战术在网络犯罪分子的世界里。这家专门从事计算机安全的美国公司在一份报告中估计,来年的威胁“将永远围绕着人类”。黑客不会寻找计算机系统中的缺陷,而是会尝试操纵用户,特别是通过社会工程技术。
“对于网络防御者来说,2024 年将是艰难的一年,他们将不得不面对更精确的网络犯罪分子,他们将寻求完善他们的策略,以进一步利用每个人的弱点”,还警告守望卫士科技通过其安全主管科里·纳赫赖纳 (Corey Nachreiner)。
专家们卡巴斯基同意同一方向。对他们来说,“网络犯罪分子将越来越多地利用尖端技术提供的热门话题和工具”来诱骗明年的互联网用户。正如卡巴斯基安全和隐私专家 Anna Larkina 指出的那样:“网络诈骗形势瞬息万变,网络犯罪分子不断开发新骗局”。
另请阅读:这是有史以来最有名的 5 位黑客
人工智能,网络犯罪分子的新强大武器
毫不奇怪,在海盗使用的新武器中,我们发现了人工智能。正如卡巴斯基在一份报告中指出的那样,ChatGPT 的到来早在 2022 年 11 月就已彻底结束。扰乱了网络犯罪的世界。事实上,近几个月来,网络犯罪分子大规模采用依赖生成人工智能的工具。黑客和诈骗者会毫不犹豫地使用 ChatGPT 或 Google Bard 编写令人信服的网络钓鱼消息、向用户勒索金钱、轻松编写恶意软件或想象新的黑客技术。
这也是今年短信钓鱼攻击数量激增的部分原因。网络犯罪分子利用人工智能撰写欺诈信息越来越有说服力。正如 Proofpoint 所解释的那样,“这项技术可以加速和提高网络钓鱼攻击的复杂性,更加接近目标受害者所经历的现实,从而增加他们点击被轰炸的电子邮件的倾向”或短信。
定制人工智能模型,例如蠕虫GPT或 FraudGPT 也已出现。这些模型由网络犯罪分子设计并在黑市上出售,可以帮助黑客进行活动。与 ChatGPT 和其他人不同,它们没有道德限制。对于网络安全专家来说,犯罪分子显然预计将在 2024 年继续使用生成式人工智能。卡巴斯基表示,“预计生成式人工智能和传统技术的交叉点会出现新的、复杂的漏洞”,为网络犯罪分子提供了新的游乐场。
敏感数据、AI与反击
此外,恶意行为者将依靠生成式人工智能的兴起来泄露敏感数据。语言模型依赖于大量的训练数据。在这个训练语料库中,我们经常发现网络犯罪分子非常喜欢的个人信息。通过有针对性的查询,利用AI模型代码中的漏洞,理论上可以提取这些信息,尽管像 OpenAI 这样的公司采取了一系列预防措施。对于 Proofpoint 来说,无论是恶意还是善意的黑客都将设法« 破解代码并操纵法学硕士(编者注:大语言模型)让他透露私人数据 »,到 2024 年数据隐私将面临风险。
迈克菲专家认为,人工智能还将帮助黑客进行影响力活动在社交网络上有效。通过使用 Midjourney 等工具生成图像或视频,萤火虫甚至 Dall-E,恶意个人会“以前所未有的方式操纵社交媒体并塑造公众舆论”。特别是,他们会利用技术通过深度伪造来冒充名人,这将模糊“虚构与现实的界限”,迈克菲担心。
然而,人们不应该期望“人工智能将在不久的将来显着扰乱威胁格局”,卡巴斯基脾气暴躁。事实上,黑客使用的工具也在安全专家的掌握范围之内:
“如果网络犯罪分子拥抱生成式人工智能,那么网络防御者也会拥抱生成式人工智能,他们将使用相同或更先进的工具来测试软件和网络安全的进步。这就是为什么人工智能最终不太可能从根本上改变攻击格局”。
深度造假的兴起
网络犯罪分子将会发展越来越多的声音深度伪造卡巴斯基预言,这是为了策划他们的攻击。这些录音旨在模仿名人或亲人等人的声音,以便让他们说出任何话。这家俄罗斯公司认为,语音克隆是主要威胁之一。例如,黑客可以克隆您的一位朋友、父母或生活伴侣的声音,以说服您通过电话泄露银行详细信息等机密数据。计算机安全专家将这种类型的攻击称为“电话钓鱼”。
“诈骗者假装是一家信誉良好的公司或组织,甚至是同事(或某人的老板)给您打电话,并试图让您做一些他们可以从中获利的事情”,明确的 WatchGuard 技术。
对于 WatchGuard Technologies 来说,我们还必须预计 2024 年语音网络钓鱼攻击将会增加。通过将语音克隆和语言模型的生成式 AI 相结合,网络犯罪分子可以轻松地“与毫无戒心的受害者进行对话”。 Deepfakes,音频或视频,也可用于冒充政治人物迈克菲补充道,目的是影响选举或骚扰互联网用户。美国公司认为“这些虚假图像的日益严重可能会对儿童及其家人造成重大和持久的伤害,损害他们的隐私、身份和福祉”。
二维码日益增长的危险
自 COVID-19 危机以来,二维码已经在我们的生活中无处不在。现在我们几乎到处都可以找到它们,在酒吧、餐馆或广告海报上。一旦使用智能手机摄像头进行扫描,它们就可以访问该机构的地图或提供其他信息。不出所料,海盗们很快就利用了这一新矿脉。事实上,他们创建了直接转发到网络钓鱼站点或病毒下载页面的二维码。这种类型的攻击称为“quishing”。它允许您强制目标访问网站,而无需先查询 URL 地址。
“对于攻击者来说,二维码是危险而奇妙的混淆工具”,WatchGuard 警告说,它预计“重大漏洞或引人注目的黑客攻击始于受害者扫描二维码 - 导致他们意外访问恶意目的地”。
在这里,黑客再次可以依靠人工智能来促进他们的犯罪行为。根据迈克菲研究人员的调查,诈骗者确实可以使用人工智能“生成代码,扫描后直接进入钓鱼网站或触发恶意软件下载”。
网络钓鱼、电影、视频游戏和 GTA VI
在过去的一年里,黑客经常发起浏览电影发行日历。例如,我们看到无数的在线诈骗和诈骗活动围绕着发布玛格特·罗比主演的电影《芭比》和克里斯托弗·诺兰执导的故事片《奥本海默》。在网络上,承诺提供带有角色图像的好东西或通过流媒体访问电影的网络钓鱼页面大量出现。
预计恶意演员将继续乘风破浪,诱骗电影观众。卡巴斯基预计“诈骗案激增”浏览备受期待的电影,如《小丑 2》、《死侍 3》、《沙丘》续集,甚至《阿凡达 3》。“欺骗性平台会声称提供独家访问权,利用观众渴望观看备受期待的电影的机会”。海盗不仅限于电影院,还应该利用备受期待的 GTA VI 的发布来吸引视频游戏爱好者。
黑客眼中的加密货币
这玩赚钱 (P2Earn)是向玩家付费的视频游戏。通过参与,互联网用户可以获得数字资产,例如加密货币或不可替代代币(NFT)。实物矿场P2Earn近年来已成为盗版者的大面积攻击目标。情况是这样的轴无限一款区块链游戏于 2022 年 3 月遭到黑客攻击。此次黑客攻击导致超过 6.2 亿美元的加密货币消失。根据卡巴斯基的调查结果,2024 年将不可避免地出现其他基于赚取数字资产的视频游戏遭到黑客攻击的情况。
网络犯罪分子对 P2Earn 的吸引力是人们对加密货币兴趣普遍复苏的一部分。对于 ESET France 来说,2024 年也将标志着“网络犯罪分子对活跃加密货币的兴趣日益浓厚,预计价格很快就会上涨”。尽管比特币已突破 40,000 美元大关观察人士预计,从长远来看,加密货币将呈现上升趋势。
ESET 研究人员解释说,他们过去发现了能够从 Google 的 Android 应用商店 Play 商店窃取用户数字钱包的病毒。四年前,ESET 已将一款冒充流行数字钱包 Metamask 的恶意应用程序固定在该平台上。明年,新一波恶意软件旨在窃取加密资产因此应该席卷整个生态系统。
“这个生态系统中的参与者特别有针对性,既是为了他们的内部资源,也是为了充当到达其他目标的特洛伊木马(所谓的供应链攻击)。用户也经常成为目标,”ESET 网络安全专家 Benoit Grunemwald 指出。
与此同时,生态系统中的主要参与者应该再次发现自己成为黑客的攻击目标。最近使用的一个工具法国巨头Ledger也被攻陷,预计给用户造成 6 亿美元的损失。源代码可在线访问的去中心化金融服务也将继续成为目标……
