【留三手】釣魚電郵攻破人工智能技術 漏洞竟是平方根
人工智能技術提高攔截釣魚電郵的準確度,於是網絡罪犯又變陣,反利用人工智能盲點避開攔截。最新方式是利用算術符號取代知名品牌logo上的文字,例如美國電訊商 Verizon,就俾罪犯用平方根符號代替V字,驟眼睇好似 logo 原貌得來又有些微差別,令電郵呃到人又呃到人工智能,高招!
網絡安全業界均肯定人工智能技術,必然有助提升惡意行為的攔截率,因為它具備機器學習功能,而且又能快速從不同渠道搜集網絡威脅資訊及趨勢,因此無論在調查及處理速度、標準化上,都較人類優勝。不過,始終人工智能的演算法都會依循一定規條,因此只要掌握它的規則,便有辦法找到入侵盲點。以這次打著 Verizon 旗號的釣魚電郵為例,一般人工智能技術都會著重檢查電郵內的品牌標誌是否偽造、內含的跳轉連結是否已被確認用於惡意行為等。網絡罪犯就利用這個規則,以平方根取代品牌的 V 字,令人工智能不會認為它是偽造的 Verizon 標誌,成功通過第一關。
不過,網絡罪犯當然不會單靠這招通關,這次發現的釣魚電郵攻擊還有其他招數。當收件者信以為真,點擊電郵內的語音留言 button,就會將收件者帶到一個虛假的 Verizon 網站。由於這次的目標是要令收件者以為正在瀏覽官方網站,所以網站的圖文排版都抄襲得一模一樣,專家指罪犯偷用了官方網站的 HTML 及 CSS 素材,因此才能令收件者信以為真。網絡罪犯亦特別利用新的 domain 架設虛假網站,提升通過電郵防禦及網絡安全工具的成功率。收件者最後會在虛假網站的底部找到一個語音訊息的播放鍵,不過點擊後並不會有任何音訊播放,而是會要求收件者先登入 Microsoft Office 365 帳戶。
為確保收件者輸入錯誤資料,當完成第一次輸入後,畫面會彈出錯誤訊息並要求重新輸入一次,但在再次輸入後仍然會顯示錯誤訊息,並指示收件者稍後再嘗試,當然這時罪犯已經完成帳戶資料收集行為。安全專家指出,釣魚電郵的詐騙手法層出不窮,即時企業已為員工採購電郵防護服務,但最終仍須依賴員工的安全意識,就如上述個案一樣,如員工有足夠的警覺性,便可從虛假網站的網址、聽取 Verizon 語音留言卻須登入 Office 365 等怪異情況,識破釣魚電郵的可疑之處。