江苏龙网

  1. 主页 > 生活百科 > >

2023年最需要注意的九大安全威胁( 二 )

安全威胁


3、买通内部人员——社工的舞蹈顾名思义,内部威胁不涉及第三方,而是涉及内部人员 。在这种情况下; 它可能是组织内部了解组织一切的个人 。内部威胁有可能造成巨大损失 。 小型企业中的内部威胁十分猖獗,因为那里的员工可以访问多个包含数据的帐户 。这种形式的攻击的原因有很多 , 可能是贪婪、恶意,甚至是粗心 。内部威胁很难预测,因此很棘手 。
Hitachi ID 进行的调查显示 , 勒索软件团伙正在最大努力招募目标公司的内部人员,以提供金钱的方式协助进行勒索软件攻击 。Hitachi ID 对100家大型(超过5000名员工)北美IT公司的调查显示,有65%的员工收到黑客需要协助建立初始访问的消息 。
大多数情况下 , 黑客们使用电子邮件或社交媒体来联系员工,报价20-50万美元,也有在100万美元以上 。也有一半的勒索软件团伙甚至在没有任何内部人员帮助的情况下攻击了目标公司 。这表明 , 勒索团伙一旦确认攻击对象,就会想办法进行渗透,直至达成目的 。
此次调查的结果反映出,内部威胁通常在制定网络安全计划时被忽视、低估甚至没有被考虑到 。36%的管理者表示,更关注外部威胁,内部威胁不在考虑范围 。内部人员往往更容易获取内部信任,他们因为各种压力或金钱诱惑 , 给黑客及竞争对手提供方便 , 泄露数据 。研究表明 , 85%的数据泄露事件和内部人员有关 。
随着各类新型网络攻击方式的出现,社会工程学不仅没有衰弱,反而迎来了更大的发展 。相比直接攻击系统的高科技黑客攻击,社会工程学的攻击手段更难以发现和防范 。这是因为它并不直接攻击系统,而是通过欺骗或诱导人工作人员,那些正常的系统日志和安全检查可能完全没有记录 。
4、深度欺骗——合成的照片与声音自从人工智能的概念在《银翼杀手》和《终结者》等虚构电影中变得更加主流以来,人们就开始质疑这项技术能继续创造出什么样的无限可能性 。直到现在 , 在不断增强的计算机能力和媒体的广泛关注下,我们才看到人工智能以一种既可怕又令人兴奋的方式吸引了全球观众 。随着人工智能等技术的日益普及,我们极有可能看到具有破坏性结果的创造性和复杂性攻击的发生 。
10月,肯尼亚媒体报道,有黑客冒充非洲联盟委员会主席穆萨-法基(Moussa Faki)与多位欧洲领导人进行视频通话,其中,黑客在通话过程中使用的深度伪造技术引起了广泛关注 。
深度伪造(Deepfake)是今年来发展迅猛的基于人工智能的图像合成技术,常用于对视频或照片进行“换脸”,近些年已经在国际上搞了不少“大事” 。比如曾有人用奥巴马的脸骂特朗普是笨蛋,也有人用乌克兰总统泽连斯基的脸“帮”乌克兰发表投降声明 。
欧洲官员也不是第一次被Deepfake盯上了,就在去年,包括柏林在内的几个欧洲大城市的市长也中招过 , 有人假冒基辅市长与他们通话,用的也是深度伪造技术 。这些上当的官员们具体中了什么圈套我们无从得知,但有人猜测 , 或许是有人想通过这种手段窃取机密信息 。
在仍然持续的俄乌冲突中,深度伪造技术就已开始“大显其手” 。2022年3月,泽连斯基和普京分别宣布投降的两段虚假视频在推特等社交平台上疯传 , 虽然视频本身的伪造技术还显得有些拙劣,但对这场冲突持对立立场的受众而言,无疑都是喜闻乐见的结果,从而在一定程度上促成了这些虚假视频的传播 。
2023年5月,一张由AI生成的美国五角大楼爆炸的图片又在全球社交平台上病毒式传播,甚至导致美国股市应声下跌 。虽然这张照片同样存在一些肉眼可见的破绽,但对于全世界许多不满美国的人而言,任何关于美国负面的信息往往会在第一时间对其深信不疑 。
此外,AI生成语音诈骗的增加也是一个令人担忧的现象 , 并预计会在未来一年出现继续增长趋势,给个人和组织带来重大风险 。这些骗局通常涉及社会工程策略,骗子使用心理操纵技术欺骗个人采取特定行动,例如披露个人信息或执行金融交易 。AI生成的语音在这方面发挥着至关重要的作用 , 因为它们可以向受害者灌输信任和紧迫感,使他们更容易受到操纵 。
AI的最新进展极大地提高了AI生成语音的质量 。它们现在可以非常逼真地模仿人类的语言模式和细微差别,这使得区分真实和虚假的声音变得越来越困难 。此外,AI语音生成工具的可访问性和可负担性也进一步扩大其采用率 。即使是没有技术专长的人也可以很容易地利用这些工具来制造令人信服的人造声音,从而使骗子有机可施 。


推荐阅读


上一篇:谷歌Gemini“抄袭”百度文心一言?AI训练数据陷入大难题

下一篇:如何设计更优雅的 React 组件?