AI趨勢專欄
AI崛起,會對企業資安造成何種影響
生成式AI如何助長惡意威脅
報告類型
發布日期
2024/07/01
自ChatGPT於2023年走進大眾視野之後,生成式AI技術迅速發展並普及化。由於其強大自動化與創作能力,到了2024年,已有許多企業開始導入AI協作加速業務運作。然而,也因為這些優點,生成式AI不可避免地成為了駭客的重要生產力工具之一。不但可以挖掘程式的弱點,也可以用於製作釣魚信件。威脅的發展突飛猛進、需要防守的攻擊表面擴張,企業的資安防護有跟上了嗎?
AI技術普及為何會助長駭客攻擊?
駭客總在尋求提高投資報酬率的方法,生成式AI因為便利性成為他們製作威脅的利器。
電子郵件是駭客常用的威脅傳遞媒介,其中不帶明顯惡意的社交工程釣魚往往最難防範。這種操縱人心的攻擊,其成功率取決於信件內容的真實性。以往為了讓目標上當,駭客需要花費大量時間與精力研究受害者。然而,隨著生成式AI的演進,駭客可以利用這些工具分析受害者的資訊,快速產生精準的社交工程信件,大量發送針對性的釣魚訊息。
除了釣魚信件,生成式AI還可以與深偽技術(deepfake)結合,提供視訊或語音來增加可信度。這並非天方夜譚,2024年2月香港某跨國公司就經歷了一起社交工程釣魚事件,駭客利用深偽技術假裝該公司的CFO,運用視訊影片誘使財務部門的受害者轉帳,陸續騙取了2億港幣(約8.3億新台幣)。而在2024年4月,密碼管理公司LastPass的員工也遭遇駭客使用深偽技術假扮CEO進行的詐騙未遂。
駭客攻擊的技術門檻已大幅降低
生成式AI結合深偽技術的詐騙複雜且難以偵測,但實際上駭客所需的技術門檻遠低於威脅的複雜度。藉由ChatGPT等生成式AI服務撰寫信件,再結合Synthesia、HeyGen這類容易取得的工具,駭客便可快速製作虛擬分身。就算沒有任何技術背景也能輕易製作結合深偽技術的客製化釣魚。AI不僅可能被駭客利用,實際上已大量用於製作威脅。傳統的威脅偵測機制,已經難以對抗這些大量、複雜的威脅了。企業的防禦策略也應該與時俱進,採用更加現代化的防護思維,才能有效對抗不斷變化的新威脅。
我想了解......
我想了解如何應對新興資安挑戰,請業務提供相關資料或安排拜訪。