用Podcast訂閱本節目 
Rti 中央廣播電臺 
生成式AI可幫忙生成文章、圖像、藝術創作、程式語言等,為工作大大加分,就在讓民眾越來越依賴的同時,竟也成為助長網路犯罪的工具。資安業者最新公布的報告就指出,勒索軟體和黑帽駭客激進主義持續猖獗,2023年發生多起大規模攻擊,可觀察到網路犯罪份子不斷升級手段和工具,這些「進化」可能都歸功於生成式AI。
友達光電資安長楊峻程說:『(原音)其實企業最多都還是BEC啦,就是電郵詐騙,我覺得還分幾塊喔,一種是那種無差別的,一種是針對鎖定式的,那針對鎖定式的,我覺得那是比較麻煩的,那甚至是有些是真的;所謂真的是,他其實是去讓你的供應鏈中毒,從你供應鏈發過來的mail你信不信?他什麼都是真的,只有內容是假的,這種是我們認為最麻煩的。』
友達光電資安長楊峻程指出,以他所在的企業來說,網路攻擊、駭客攻擊一直都在,最多的就是電郵詐騙,但近期這些釣魚郵件越來越細膩、客製化,且會針對特定的人;他舉例,過去大家收到詐騙郵件時,「一看就知道是詐騙」,但現在內容變得很明確,是專門寄給你的,而且會帶一些你剛好需要的訊息。其中最棘手的莫過於來自供應鏈的信件,因為寄信人、信箱地址都沒錯,只有內容不合理,是在主動詢問對方時才發現,原來是供應鏈廠商中毒了。
資安業者、趨勢科技公布的《2024資安預測報告》指出,駭客已開始使用生成式AI精進社交工程詐騙,例如假裝成是企業領導人或員工的「變臉詐騙」、鎖定目標的「魚叉式網路釣魚」、專挑更大目標的「網路捕鯨」等,他們生成出更具吸引力的「釣餌」,提高得手機會。
生成式AI 資安的雙面刃
趨勢科技台灣區總經理洪偉淦解釋,生成式AI可以幫助資訊人員加速工作進度,對黑帽駭客當然也有同樣效果,可以幫助他們開發惡意程式,以及內容的產出,像是寫出很誘人的釣魚郵件,甚至創造假訊息;過去用人力的方式去做,速度沒有那麼快,甚至品質也不見得那麼一致,現在生成式AI都能做得很不錯。他說:『(原音)我想對於這種所謂的釣魚郵件,對於這種假訊息的傳播生成,還有我剛才講的整個程式開發、或者是漏洞發覺等等的這些類的工作,其實對於駭客而言都有所助益。所以我們可以預計到生成式AI基本上對資安的也是雙面刃,就他當然能夠幫助我們資安能夠提出更多的方法,幫助我們有效的防禦,但事實上,從另外方面,駭客也可以利用他,然後來產生更多的威脅這樣子。』
資安業者、Check Point公布的《2024年網路安全報告》也指出,2023年全球有10%的組織已成為勒索軟體攻擊的目標,這比2022年的7%顯著增加,也是過去幾年的最高比例。
若觀察全球產業被攻擊的趨勢,以教育研究行業被攻擊次數居冠,但相較2022年已顯著減少了12%,第二名為政府及軍事單位,年減4%,第三名為醫療保健行業,年增3%。
全球勒索軟體攻擊上升 零售及批發行業成重要目標
值得注意的是,零售及批發行業年增率大幅暴增至22%,Check Point分析,零售和批發企業通常會處理來自大量客戶的財務資料,如信用卡、財力等個資,且他們通常涉及眾多供應商和第三方服務提供者,對黑帽駭客充滿吸引力;這些產業正開始數位轉型,嚴重依賴線上交易,與大型企業相比,小型零售商和批發商可能沒有強大的網路安全防禦資源,這些數位足跡都為網路攻擊者提供了更多的入口點。
台灣方面,Check Point指出,過去6個月台灣各組織平均每週遭到2930次網路攻擊,遠高於全球平均的1089次,其中又以政府機關被攻擊的次數最多,且83%的惡意檔案是透過電子郵件傳遞。
駭客的新模式 RaaS崛起
Check Point台灣總經理劉基章指出,今年資安有3大趨勢,業者須慎防。首先是勒索軟體的演進,攻擊者已改變策略,透過零日漏洞、也就是當漏洞被發現,而軟體開發商尚未發布修補程式時,以更強手法攻擊;其次是針對邊緣裝置、如手機、遊戲機、安全攝影機的攻擊持續增加,凸顯出所有網路元件都可能需要安全措施。
第三是,國家支持的駭客激進主義不斷升級,與地緣政治衝突相關的網路攻擊顯著提升。尤其黑帽駭客利用毀滅性資料清除程式,最大化攻擊影響範圍,凸顯網路戰不斷演變,而且「勒索軟體即服務」(RaaS)的相關組織也越來越多。劉基章說:『(原音)以前駭客是直接來攻,但現在這些駭客會做出攻擊的工具,到平台上販賣,這就是一個服務;那很多想當駭客的人,他就去買這些工具,買了這些駭客的工具,就用e-mail或簡訊的方式,去隨意的廣布。』
2023年ChatGPT等生成式AI技術的出現讓人們對於AI應用有了更多想像,這些突破性技術為企業、人類帶來許多新興應用,但也成為駭客攻擊的新型武器,隨著生成式AI持續進步,恐也將加劇全球資安環境的風險與壓力。
延伸閱讀 【AI時代下的資安危機】系列報導
‧系列(二)/聯網設備皆要防護 台灣資安人才足夠嗎?
‧系列(三)/如何防範駭客攻擊 專家:資安意識最重要
