超过90%的成功网络攻击都始于钓鱼邮件。企业每年投入数十亿美元用于培训项目,旨在帮助员工识别并规避这类诈骗。但IEEE计算机协会发布的最新研究表明,这些反诈和反钓鱼训练实际上效果甚微。该研究聚焦医疗行业反钓鱼培训的实际效果。研究人员发现,平均而言,接受过常规反钓鱼培训的用户,在识别钓鱼诈骗方面仅比未接受培训的用户略好。两者的总体差异约为1.7%。在多项模拟钓鱼攻击测试中,两组中均有至少10%的用户未能通过测试(即误点击或泄露信息)。
IEEE高级会员Elyson De La Cruz表示:“经验告诉我们,仅靠点击模拟测试和警示海报无法培养出持久的防范能力。这可能是因为用户过度接触模拟内容,进而产生警惕疲劳,最终导致识别真实攻击的效果变差。”IEEE高级会员Steven Furnell则指出,钓鱼攻击培训的成效在很大程度上“取决于培训的形式,以及在规划和为相关用户提供支持方面投入的努力”。Furnell认为,仅要求员工完成线上培训 —— 这类培训通常仅讨论威胁、并通过几个简化案例测试员工的识别能力—— 本身不太可能见效。开展一系列模拟钓鱼攻击测试同样如此。这些培训项目需要内部宣传活动的配合,才能起到支持和强化的作用。
此外,攻击者对人工智能的使用日益增多,这使得个人更难分辨信息的真伪。IEEE 高级会员Vaibhave Tupe建议:“尽管培训能提高安全意识,但它无法可靠地保护企业抵御现代钓鱼攻击的规模与复杂程度。”
生成式人工智能在钓鱼攻击激增中的作用
据麦肯锡研究显示,自2022年生成式人工智能兴起以来,钓鱼攻击数量已激增1200%。对攻击者而言,人工智能为其实时优化攻击策略打开了大门,尤其能让钓鱼尝试看起来更具合法性。
IEEE高级会员Kayne McGladrey表示:“人工智能生成的钓鱼内容,消除了培训项目中教人们识别的所有传统警示信号。”常规培训通常会教人们留意语法错误、格式异常或不合常理的场景。“然而,如今人工智能已能生成语法完美、格式规范且看似可信的邮件。它甚至能利用从社交媒体或数据泄露事件中获取的信息,发起针对性攻击。”尽管人工智能确实让制作极具迷惑性的钓鱼攻击内容变得更容易,但IEEE高级会员Suélia de Siqueira Rodrigues Fleury Rosa表示,人工智能也为安全负责人和企业提供了创新机遇。她指出:“智能体人工智能(agentic AI)的兴起不仅是一种威胁途径,也为安全教育领域的跨学科创新打开了大门。通过研究自主系统的规划、学习与决策方式,我们能够构建防御性人工智能系统,预判攻击者的行动。高校及培训项目必须与时俱进,同时涵盖人工智能驱动的攻击与防御所涉及的技术层面和伦理层面。”
什么方法有效?
既然钓鱼攻击培训效果不佳,那什么方法才管用?
IEEE高级会员Shaila Rana表示:“有效的钓鱼安全教育需要沉浸式、有吸引力的体验,让网络安全思维成为一种直觉,而非负担。”她指出,虚拟现实(VR)和增强现实(AR)环境能模拟真实的工作场景。员工可在这种安全、隔离且无实际后果的环境中练习做决策,同时获得即时、建设性的反馈。她进一步补充,包含游戏化元素、互动叙事,以及能根据个人职位和风险特征调整的场景化学习,比通用的邮件模拟测试更有效。“理想情况下,未来的反钓鱼解决方案应将人工智能技术防御与以人为本的设计原则相结合,让安全行为成为最容易做出的选择。”然而在McGladrey看来,技术防御必须成为首要策略。他表示:“我们正进入一个新时代 —— 即便是具备安全意识的人,也无法可靠分辨邮件是合法的还是AI生成的。”
理想的反钓鱼解决方案
展望未来,钓鱼攻击培训需与时俱进,以应对不断变化的威胁,尤其是在全球AI应用持续普及的背景下。
IEEE高级会员Márcio Andrey Teixeira指出:“理想的反钓鱼防御体系需要具备分层特性。”这包括植入先进AI过滤器以拦截恶意信息、采用强身份验证(如无密码登录)以降低损失,以及通过持续监控实现实时威胁检测。人员与员工仍是企业防御体系中的关键一层 —— 毕竟,针对现代AI驱动型诈骗的沉浸式、场景化培训,目前仍不可或缺。Teixeira表示:“人们常说人员是安全防御中最薄弱的一环,但实际情况要复杂得多。仅靠钓鱼攻击培训远远不够,配备技术防御手段同样必要。”
本文来自IEEE计算机协会
京公网安备 11010202008829号