駭客招數不斷翻新，「用戶帳號」仍是首要目標

FBI（美國聯邦調查局）和 CISA（美國網路安全暨基礎設施安全局）在8月29日發布了一份聯合公告，這是他們持續進行的#StopRansomware（停止勒索軟體）計畫的一部分，目的是協助各組織防範勒索軟體攻擊。最新的公告編號 AA24-242A 詳細說明了三項關鍵行動，以降低勒索軟體的網路威脅：及時更新系統、採用防釣魚的多重要素驗證（MFA），以及加強員工資安意識教育。

勒索軟體攻擊和個資外洩事件數量激增，讓資安防護面臨前所未有的挑戰。駭客的攻擊手法突飛猛進，而許多企業組織無法及時應對，導致資安團隊光是要跟上新型攻擊手法和受害案例的揭露速度，就已疲於奔命。如專家們先前所預測，生成式AI確實成為了駭客的利器，而面對這樣的威脅，我們必須立即調整資安策略，才能有效防禦。

即使不斷進行教育訓練，要讓一般使用者都能識別出高明的釣魚攻擊或複雜的AI換臉技術，還是有很高的難度。

資安長們一致認為 最大的資安風險就是使用者

駭客運用人工智慧技術（尤其是生成式AI）讓攻擊手法變得更加複雜難防，使得資安團隊面臨更大的挑戰。根據調查，網路犯罪集團最常使用的手法是透過釣魚攻擊來鎖定大型企業組織的員工，藉此取得系統存取權限。美國網路安全暨基礎設施安全局（CISA）的報告指出，高達九成的勒索軟體攻擊都是從釣魚開始的。

進階釣魚攻擊仍是駭客最愛用的手法，而隨著AI技術的進步，這些攻擊變得更加精準且難以防範。AI不僅能大規模發動針對企業內特定人員的客製化釣魚攻擊，還能利用組織及員工的真實資料，讓攻擊內容看起來更加逼真。除了難與正常信件區分，傳統的特徵辨識方法逐漸失效。這意味著，僅僅提升員工的資安意識已經不足夠，我們需要更先進的防護措施來應對這些新型威脅。

生成式AI催生了新型社交工程攻擊，使上述情況因深度偽造技術（Deepfake）的興起而更加複雜。網路犯罪分子如今利用AI生成的聲音和影片來冒充高階主管和其他可信人士。這些攻擊手法包括透過假冒可信的電話號碼進行詐騙，以及在視訊會議（如Zoom）中偽裝成熟悉的同事，並已成功誘導員工轉移資金、分享帳號密碼，以及執行其他可能危及資訊安全的操作。這類攻擊利用了員工對熟悉聲音和面孔的固有信任，因而極具危險性。

如今，暗網上充斥著各種駭客工具，讓一般人也能輕鬆發動網路攻擊。而在過去，釣魚和勒索軟體攻擊需要專業駭客的技術，但隨著生成式AI和新型網路犯罪工具的出現，能夠連上暗網的人都可以發動這類攻擊。勒索軟體即服務（RaaS）和AI驅動的工具在暗網上唾手可得，大大降低了攻擊門檻。這種轉變使得即使是對資訊安全一知半解的人，只要有電腦和網路，就能發動複雜的網路攻擊。這種趨勢可以說是將零工經濟的概念帶入了網路犯罪世界，讓資安防護變得更加棘手。

新威脅來襲，防禦策略也要升級

採用防釣魚多因子驗證（MFA）已成為刻不容緩的任務。隨著釣魚攻擊成為企業面臨的首要網路威脅，傳統MFA方案逐漸力不從心，受害案例持續增加即為明證。最新報告強調，面對AI增強的釣魚攻擊，部署新一代防釣魚MFA解決方案勢在必行。資安長們應迅速轉向硬體型、運用生物辨識技術，並符合FIDO標準的MFA解決方案，才能大幅降低釣魚和勒索軟體攻擊的風險。

本文轉載自 TheHackerNews。