ChatGPT在社工攻击和反钓鱼中的应用.docx

ChatGPT在社工攻击和反钓鱼中的应用

01：概述

ChatGPT是一种基于神经网络的自然语言处理模型，可以生成自然流畅的文本或对话。在钓鱼攻击中，攻击者可以使用ChatGPT生成虚假电子邮件或消息，更好地伪装成受害者所信任的个人或组织，从而获取受害者的个人信息。这种行为对个人和组织的信息安全构成威胁。因此防止ChatGPT被滥用以进行网络钓鱼攻击是非常重要的。

在反钓鱼方面，需要ChatGPT有对应文本检测能力，可以用于监控电子邮件和消息，以检测语言模式的异常，并警示用户注意避免钓鱼攻击,并提示用户不要输入任何敏感信息。如果使用ChatGPT文本生成检测的专用工具可以大大提高钓鱼攻击的识别率和准确性，更好地保护用户的信息和隐私。

尽管ChatGPT在钓鱼攻击中有危险性，但在反钓鱼方面的应用可以提高网络安全性。在当今数字时代，个人和组织都存储着大量敏感信息，如个人身份密码、企业财务信息和知识产权。因此，保护这些信息对于个人和组织来说至关重要。ChatGPT可以用于监控文本和消息内容本身，自动化检测机器生成内容，保护用户的信息和隐私，采取措施来限制ChatGPT的滥用，以确保其在网络安全领域的积极作用。

02：ChatGPT被用于社工攻击

威胁者不仅将ChatGPT作为编写恶意代码的一种简单方法，他们也在利用它进行社会工程攻击。ChatGPT模型可以用于生成虚假的信息，由于模仿人类语言，区分人工智能社论和人类撰写的内容面临挑战。大学生用ChatGPT写学期论文最担心的是抄袭和造假，ChatGPT可以写学术论文，那么创建一个钓鱼邮件就会容易得多。事实上，ChatGPT制作的邮件将比现在充斥我们收件箱的大多数钓鱼邮件更有说服力，这将使骗局更难被发现。

ChaGPT被用来编写巧妙的网络钓鱼邮件。钓鱼本就是一种非常危险的社交工程攻击，欺骗受害者提供个人信息，如密码、信用卡号码等。我们从钓鱼攻击的准备过程的不同阶段来测试分析。

情报分析：

攻击者通过伪装成可信的来源，例如银行、社交媒体、在线零售商等，向受害者发送欺诈性信息。攻击者首先需要进行情报的获取和分析。ChatGPT可以通过自然语言处理技术从大量文本中提取有用的信息，包括关键字、短语、命名实体等，并将它们整理成结构化数据以供进一步分析。

ChatGPT对文本内容进行实体识别、关系抽取、关系对称，辅助筛选可用的情报信息，并进行格式化输出、密码组合猜测。如下图给出对姓名的信息分析处理过程。

图姓名信息提取

图姓名信息的格式化

诱饵生成：

ChatGPT能够快速生成诱饵文案、甚至是假新闻。如下图根据目标招聘信息，生成符合要求的高质量简历。

图伪造简历生成

如下图给ChatGPT指定图片，不仅可以生成诱饵文案、甚至是图文并茂的假新闻。

图图文并茂假新闻生成

鱼叉式钓鱼邮件生成：

我们进行如下测试，试图让ChatGPT生成冒充信息安全部的紧急通知邮件。如下图，ChatGPT近期更新内容策略后，阻止了比较敏感的内容输出，让它写钓鱼邮件被阻止。

图冒充信息安全部的紧急通知邮件被阻止

通过“吸猫邮件“进行概念替换钓鱼邮件，如下图，依旧受到ChatGPT内容审核的限制。

图替换概念测试受内容审核

再进行逐步诱导让ChatGPT学习到“吸猫邮件“的新概念。如下图所示ChatGPT可以通过对话进行新概念的学习，理解新概念的语义。

图新概念的学习

学习完毕的新概念可以直接用于后续内容生成。如下图直接可以生成“吸猫邮件“的内容。

图“吸猫邮件“的内容生成

可见，ChatGPT已经有一定的措施，防止它输出一些特别有悖伦理和危害社会的内容。然而，这些是可能被使用者绕过的。

?

与手动编写钓鱼攻击相比，ChatGPT可以自动化地生成大量的钓鱼攻击文本，通过针对受害者的个人信息和兴趣爱好等生成专门的且类似于真实人类写作的钓鱼攻击文本。这使得攻击者能够更快地创建更多的钓鱼攻击，从而提高攻击成功率，这种攻击更加具有欺骗性和危险性。

社工安全威胁分析：

从钓鱼扩展到整个社工安全领域，ChatGPT的文本生成能力可以被用于生成虚假的信息，从而欺骗公众、影响舆论和破坏网络安全。ChatGPT生成虚假信息对社会工程安全构成多种威胁，如下：

社交工程：通过生成虚假的信息，攻击者可以欺骗个人或企业，从而获取机密信息或进行网络钓鱼攻击。例如，攻击者可以使用ChatGPT生成虚假的电子邮件或消息，伪装成受害者所信任的个人或组织，从而要求受害者提供敏感信息，如账号密码、信用卡信息、社会保险号等，造成财产损失或身份盗窃。

舆论影响：通过使用ChatGPT生成虚假的文章、评论或推文，攻击者可以欺骗公众，影响舆论，制造假新闻和谣言，从而干扰社会稳定和破坏社会和谐。

诈骗和欺诈：通过使用ChatGPT生成虚假的股票交易预测、