高校如何應對AI 時代的網絡釣魚？

文/本刊記者 陳永杰

2023 年6 月23 日，新加坡網絡安全局（CSA）發布的《2022 年新加坡網絡全景報告》（以下簡稱《報告》）中顯示，2022 年新加坡網絡應急響應小組報告了約8500 起網絡釣魚企圖，是2021 年的兩倍多。那么什么是網絡釣魚？簡單來說，網絡釣魚就是利用虛假身份和欺騙手段，通過網站、語音、短信、郵件、Wi-Fi 等途徑，誘導用戶泄露用戶名、密碼、銀行賬戶等個人敏感信息的一種網絡攻擊方式。

在人工智能（AI）迅速崛起的當下，AI 是否會對網絡釣魚產生影響？成為很多人關注的熱點話題。《報告》指出，隨著人工智能變得越來越容易獲得和先進，威脅行為者可能會利用這種技術進行惡意活動，例如發起高度針對性的魚叉式網絡釣魚活動。面對這樣的發展趨勢，高校應如何迎戰網絡釣魚攻擊？

知己知彼，方能百戰不殆

卡巴斯基的一份報告顯示，2022 年網絡釣魚的攻擊數量超過5 億次，較2021年翻了一番。而且根據調研，近年來隨著互聯網的快速發展，網絡釣魚的攻擊數量正逐年攀升。在這樣的增長態勢下，其背后的影響因素引人深思。對此，廈門大學信息與網絡中心副主任鄭海山認為，主要有下面兩個原因：

第一，網絡釣魚對攻擊者而言是投資回報率最高的攻擊方式之一。隨著《中華人民共和國網絡安全法》的頒發和推廣，我國各個單位的網絡安全保障能力不斷增強，一些較為簡單的安全問題已經大大減少。然而，網絡釣魚往往從網絡安全意識最薄弱的人員和環節下手，一旦中招，輕則部分賬戶名、密碼失陷，重則直接突破各個單位的邊界防護，獲取集權系統權限。

第二，AI 的發展與網絡釣魚數量、質量倍增存在一定聯系。研究表明，有相當一部分攻擊者在采用類ChatGPT 的生成式人工智能（AIGC）工具來修復以往釣魚內容的拼寫和語法錯誤。并且在使用AIGC 后，釣魚內容越來越復雜，個性化程度也越來越高，愈加難以被識別。

具體來說，一方面，AIGC 可以生成逼真的虛假信息，例如偽造電子郵件、社交媒體賬號或網站，使其看起來與真實的組織或個人無異，使得網絡釣魚攻擊更加難以辨別。另一方面，通過機器學習和自然語言處理技術，攻擊者可以自動化生成大量的釣魚郵件、信息或鏈接，并根據受害者的個人信息和行為習慣進行個性化定制，提高攻擊的成功率。

最常見的網絡釣魚手段就是通過郵件誘騙用戶中招，而釣魚郵件事件一般又可分為三大類：

一是詐騙類，如黑客盜用高校郵箱發送主題為“整改補貼通知”“教職工補貼調整”的釣魚郵件。郵件正文和附件帶有誘導性話語，以騙取目標掃描附件中的二維碼；二維碼鏈接頁面則偽裝成微信登錄界面，以騙取手機號和微信密碼。

二是竊取敏感信息類，如黑客通過偽造“模擬高校項目郵件”在郵件附件中傳播攜帶病毒程序的釣魚郵件。郵件正文引導顯示發件人名稱與郵件主題和郵件正文均有關，具有非常高的偽裝度。郵件誘導客戶接收附件文件，附件鏈接壓縮包攜帶病毒感染程序，以此進行病毒傳播。

三是定向魚叉類，如黑客盜用高校郵箱，群發釣魚郵件給相關高校，通過郵件正文中的誘導性話語，誘騙目標點擊鏈接盜取密碼，或誘騙其運行附件，從而控制目標電腦終端，具有很強的欺騙性。

當前，無論是釣魚郵件還是釣魚網站、語音、短信等，AI 的發展和應用，無疑會使這些信息更具說服力，從而增加用戶被欺騙的風險。而且，隨著新興技術的不斷迭代，網絡釣魚的手段還會持續增強。所以，當務之急是盡快探尋出能夠有效預防網絡釣魚攻擊的動態防護體系。

面向未來，如何防止被釣？

“目前，高校跟其他行業一樣，主要面臨兩種類型的網絡釣魚攻擊，一種是廣撒網式的攻擊，一種是非常有針對性的APT 攻擊。”鄭海山表示，與其他行業不同的是，高校人員更替比較頻繁，每年均有大量的畢業生離校和新生入校，所以網絡安全意識培訓工作的開展難度較大。廈門大學在應對網絡釣魚上主要開展了這些工作：

一是在郵件系統部署安全網關，識別并攔截釣魚郵件，推廣雙因素認證和郵件客戶端獨立密碼設置；二是通過威脅情報，在邊界對一些已知的威脅域名和IP 進行攔截過濾；三是提供網絡安全意識培訓，提高師生員工的網絡安全素養；四是提供正版化軟件并推廣使用，杜絕對Office、PDF、視頻、圖片等查看或編輯工具的CVE 漏洞利用；五是使用開源平臺Gophish 開展常態化反釣魚郵件演練；六是開展監測與應急響應工作。

鄭海山表示，雖然學校做了很多工作，演練結果顯示中招率也大大降低，但是網絡釣魚中招依舊不可避免。所以，未來學校還是要從做廣、做深、做細上下功夫。具體可遵循以下三點：

首先，萬變不離其宗，網絡安全素養教育是關鍵。反網絡釣魚，歸根結底是網絡安全素養的提高教育。對此，高校先要培養師生識別網絡釣魚的能力，保證普適性的網絡安全意識培訓，并確保一些掌握較大權限的用戶能夠抵擋比較高級的釣魚攻擊。在任何情況下，師生都應注意網址鏈接的正確性，不要隨意在不可信網址鏈接內輸入賬戶名、密碼和個人信息，不隨意打開可執行文件，包括但不限于.exe（可執行文件）、.scr（屏幕保護程序）、.bat（批處理文件）、.com（命令文件）、.cmd（腳本）、.ps1（Powershell 腳本）、.vbs（VBScript腳本）等。

其次，雙向思考，利用好AI 工具。從攻擊者角度思考，高校在開展反釣魚郵件演練時，可以利用AIGC 工具生成釣魚郵件內容，提高反釣魚郵件演練的效率和釣魚郵件的真實性。從防御者角度思考，高校可以借助AI 工具分析網站的內容、域名等特征來檢測和識別釣魚網站，同時還可以分析用戶的行為模式和習慣，識別潛在的釣魚攻擊。例如，通過監測用戶點擊鏈接的行為、輸入敏感信息的習慣等，機器學習算法可以判斷是否存在釣魚行為，并采取相應的防御措施。

最后，變被動為主動。網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。除了常態化防守外，學校可以適當考慮一些主動的對抗，比如引入郵件蜜罐系統。對于一些已經明顯識別到的網絡釣魚攻擊，學校可以主動投放一些誘餌到攻擊者系統內，之后密切注意蜜罐信息，將攻擊內容、來源IP 等信息串聯起來，一旦有誘餌觸發了蜜罐，獲取來源IP，并對瀏覽器指紋等信息進行阻斷，也可反查溯源日志，識別其他受害者并進行應急響應。

總之，AI 在網絡釣魚領域既是一種威脅，也是一種應對手段。隨著技術的不斷發展，網絡安全領域需要不斷創新和加強合作，以保護用戶免受網絡釣魚攻擊的威脅。