總結(jié):
IEEE計算機協(xié)會近期研究指出,反詐和反釣魚訓(xùn)練實際上效果甚微。
生成式人工智能的興起,使得個人更難分辨信息的真?zhèn)巍?/strong>
理想情況下,企業(yè)應(yīng)采取分層策略,將現(xiàn)代化培訓(xùn)方法與技術(shù)手段相結(jié)合。
超過90%的成功網(wǎng)絡(luò)攻擊都始于釣魚郵件(https://www.cisa.gov/shields-guidance-families)。企業(yè)每年投入數(shù)十億美元用于培訓(xùn)項目,旨在幫助員工識別并規(guī)避這類詐騙。但IEEE計算機協(xié)會發(fā)布的最新研究表明,這些反詐和反釣魚訓(xùn)練實際上效果甚微(https://www.computer.org/csdl/proceedings-article/sp/2025/223600a076/21B7RjYyG9q)。
該研究聚焦醫(yī)療行業(yè)反釣魚培訓(xùn)的實際效果。研究人員發(fā)現(xiàn),平均而言,接受過常規(guī)反釣魚培訓(xùn)的用戶,在識別釣魚詐騙方面僅比未接受培訓(xùn)的用戶略好。兩者的總體差異約為1.7%。在多項模擬釣魚攻擊測試中,兩組中均有至少10%的用戶未能通過測試(即誤點擊或泄露信息)。
IEEE高級會員Elyson De La Cruz表示:“經(jīng)驗告訴我們,僅靠點擊模擬測試和警示海報無法培養(yǎng)出持久的防范能力。這可能是因為用戶過度接觸模擬內(nèi)容,進而產(chǎn)生警惕疲勞,最終導(dǎo)致識別真實攻擊的效果變差。”
IEEE高級會員Steven Furnell則指出,釣魚攻擊培訓(xùn)的成效在很大程度上“取決于培訓(xùn)的形式,以及在規(guī)劃和為相關(guān)用戶提供支持方面投入的努力”。
Furnell認為,僅要求員工完成線上培訓(xùn) —— 這類培訓(xùn)通常僅討論威脅、并通過幾個簡化案例測試員工的識別能力—— 本身不太可能見效。開展一系列模擬釣魚攻擊測試同樣如此。這些培訓(xùn)項目需要內(nèi)部宣傳活動的配合,才能起到支持和強化的作用。
此外,攻擊者對人工智能的使用日益增多,這使得個人更難分辨信息的真?zhèn)巍EEE 高級會員Vaibhave Tupe建議:“盡管培訓(xùn)能提高安全意識,但它無法可靠地保護企業(yè)抵御現(xiàn)代釣魚攻擊的規(guī)模與復(fù)雜程度。”
生成式人工智能在釣魚攻擊激增中的作用
據(jù)麥肯錫研究顯示,自2022年生成式人工智能興起以來,釣魚攻擊數(shù)量已激增1200%。對攻擊者而言,人工智能為其實時優(yōu)化攻擊策略打開了大門,尤其能讓釣魚嘗試看起來更具合法性。
IEEE高級會員Kayne McGladrey表示:“人工智能生成的釣魚內(nèi)容,消除了培訓(xùn)項目中教人們識別的所有傳統(tǒng)警示信號。”
常規(guī)培訓(xùn)通常會教人們留意語法錯誤、格式異常或不合常理的場景。
“然而,如今人工智能已能生成語法完美、格式規(guī)范且看似可信的郵件。它甚至能利用從社交媒體或數(shù)據(jù)泄露事件中獲取的信息,發(fā)起針對性攻擊。”
盡管人工智能確實讓制作極具迷惑性的釣魚攻擊內(nèi)容變得更容易,但IEEE高級會員Suélia de Siqueira Rodrigues Fleury Rosa表示,人工智能也為安全負責(zé)人和企業(yè)提供了創(chuàng)新機遇。
她指出:“智能體人工智能(agentic AI)的興起不僅是一種威脅途徑,也為安全教育領(lǐng)域的跨學(xué)科創(chuàng)新打開了大門。通過研究自主系統(tǒng)的規(guī)劃、學(xué)習(xí)與決策方式,我們能夠構(gòu)建防御性人工智能系統(tǒng),預(yù)判攻擊者的行動。高校及培訓(xùn)項目必須與時俱進,同時涵蓋人工智能驅(qū)動的攻擊與防御所涉及的技術(shù)層面和倫理層面。”
什么方法有效?
既然釣魚攻擊培訓(xùn)效果不佳,那什么方法才管用?
IEEE高級會員Shaila Rana表示:“有效的釣魚安全教育需要沉浸式、有吸引力的體驗,讓網(wǎng)絡(luò)安全思維成為一種直覺,而非負擔(dān)。”
她指出,虛擬現(xiàn)實(VR)和增強現(xiàn)實(AR)環(huán)境能模擬真實的工作場景。員工可在這種安全、隔離且無實際后果的環(huán)境中練習(xí)做決策,同時獲得即時、建設(shè)性的反饋。她進一步補充,包含游戲化元素、互動敘事,以及能根據(jù)個人職位和風(fēng)險特征調(diào)整的場景化學(xué)習(xí),比通用的郵件模擬測試更有效。
“理想情況下,未來的反釣魚解決方案應(yīng)將人工智能技術(shù)防御與以人為本的設(shè)計原則相結(jié)合,讓安全行為成為最容易做出的選擇。”
然而在McGladrey看來,技術(shù)防御必須成為首要策略。
他表示:“我們正進入一個新時代 —— 即便是具備安全意識的人,也無法可靠分辨郵件是合法的還是AI生成的。”
理想的反釣魚解決方案
展望未來,釣魚攻擊培訓(xùn)需與時俱進,以應(yīng)對不斷變化的威脅,尤其是在全球AI應(yīng)用持續(xù)普及的背景下。
IEEE高級會員Márcio Andrey Teixeira指出:“理想的反釣魚防御體系需要具備分層特性。”這包括植入先進AI過濾器以攔截惡意信息、采用強身份驗證(如無密碼登錄)以降低損失,以及通過持續(xù)監(jiān)控實現(xiàn)實時威脅檢測。
人員與員工仍是企業(yè)防御體系中的關(guān)鍵一層 —— 畢竟,針對現(xiàn)代AI驅(qū)動型詐騙的沉浸式、場景化培訓(xùn),目前仍不可或缺。
Teixeira表示:“人們常說人員是安全防御中最薄弱的一環(huán),但實際情況要復(fù)雜得多。僅靠釣魚攻擊培訓(xùn)遠遠不夠,配備技術(shù)防御手段同樣必要。”
