總結(jié)：

●   IEEE計(jì)算機(jī)協(xié)會(huì)近期研究指出，反詐和反釣魚訓(xùn)練實(shí)際上效果甚微。

●   生成式人工智能的興起，使得個(gè)人更難分辨信息的真?zhèn)巍?/p>

●   理想情況下，企業(yè)應(yīng)采取分層策略，將現(xiàn)代化培訓(xùn)方法與技術(shù)手段相結(jié)合。

超過90%的成功網(wǎng)絡(luò)攻擊都始于釣魚郵件。企業(yè)每年投入數(shù)十億美元用于培訓(xùn)項(xiàng)目，旨在幫助員工識(shí)別并規(guī)避這類詐騙。但IEEE計(jì)算機(jī)協(xié)會(huì)發(fā)布的最新研究表明，這些反詐和反釣魚訓(xùn)練實(shí)際上效果甚微。

該研究聚焦醫(yī)療行業(yè)反釣魚培訓(xùn)的實(shí)際效果。研究人員發(fā)現(xiàn)，平均而言，接受過常規(guī)反釣魚培訓(xùn)的用戶，在識(shí)別釣魚詐騙方面僅比未接受培訓(xùn)的用戶略好。兩者的總體差異約為1.7%。在多項(xiàng)模擬釣魚攻擊測(cè)試中，兩組中均有至少10%的用戶未能通過測(cè)試（即誤點(diǎn)擊或泄露信息）。

IEEE高級(jí)會(huì)員Elyson De La Cruz表示：“經(jīng)驗(yàn)告訴我們，僅靠點(diǎn)擊模擬測(cè)試和警示海報(bào)無(wú)法培養(yǎng)出持久的防范能力。這可能是因?yàn)橛脩暨^度接觸模擬內(nèi)容，進(jìn)而產(chǎn)生警惕疲勞，最終導(dǎo)致識(shí)別真實(shí)攻擊的效果變差。”

IEEE高級(jí)會(huì)員Steven Furnell則指出，釣魚攻擊培訓(xùn)的成效在很大程度上“取決于培訓(xùn)的形式，以及在規(guī)劃和為相關(guān)用戶提供支持方面投入的努力”。

Furnell認(rèn)為，僅要求員工完成線上培訓(xùn) —— 這類培訓(xùn)通常僅討論威脅、并通過幾個(gè)簡(jiǎn)化案例測(cè)試員工的識(shí)別能力—— 本身不太可能見效。開展一系列模擬釣魚攻擊測(cè)試同樣如此。這些培訓(xùn)項(xiàng)目需要內(nèi)部宣傳活動(dòng)的配合，才能起到支持和強(qiáng)化的作用。

此外，攻擊者對(duì)人工智能的使用日益增多，這使得個(gè)人更難分辨信息的真?zhèn)巍EEE 高級(jí)會(huì)員Vaibhave Tupe建議：“盡管培訓(xùn)能提高安全意識(shí)，但它無(wú)法可靠地保護(hù)企業(yè)抵御現(xiàn)代釣魚攻擊的規(guī)模與復(fù)雜程度。”

生成式人工智能在釣魚攻擊激增中的作用

據(jù)麥肯錫研究顯示，自2022年生成式人工智能興起以來，釣魚攻擊數(shù)量已激增1200%。對(duì)攻擊者而言，人工智能為其實(shí)時(shí)優(yōu)化攻擊策略打開了大門，尤其能讓釣魚嘗試看起來更具合法性。

IEEE高級(jí)會(huì)員Kayne McGladrey表示：“人工智能生成的釣魚內(nèi)容，消除了培訓(xùn)項(xiàng)目中教人們識(shí)別的所有傳統(tǒng)警示信號(hào)。”

常規(guī)培訓(xùn)通常會(huì)教人們留意語(yǔ)法錯(cuò)誤、格式異常或不合常理的場(chǎng)景。

“然而，如今人工智能已能生成語(yǔ)法完美、格式規(guī)范且看似可信的郵件。它甚至能利用從社交媒體或數(shù)據(jù)泄露事件中獲取的信息，發(fā)起針對(duì)性攻擊。”

盡管人工智能確實(shí)讓制作極具迷惑性的釣魚攻擊內(nèi)容變得更容易，但I(xiàn)EEE高級(jí)會(huì)員Suélia de Siqueira Rodrigues Fleury Rosa表示，人工智能也為安全負(fù)責(zé)人和企業(yè)提供了創(chuàng)新機(jī)遇。

她指出：“智能體人工智能（agentic AI）的興起不僅是一種威脅途徑，也為安全教育領(lǐng)域的跨學(xué)科創(chuàng)新打開了大門。通過研究自主系統(tǒng)的規(guī)劃、學(xué)習(xí)與決策方式，我們能夠構(gòu)建防御性人工智能系統(tǒng)，預(yù)判攻擊者的行動(dòng)。高校及培訓(xùn)項(xiàng)目必須與時(shí)俱進(jìn)，同時(shí)涵蓋人工智能驅(qū)動(dòng)的攻擊與防御所涉及的技術(shù)層面和倫理層面。”

什么方法有效？

既然釣魚攻擊培訓(xùn)效果不佳，那什么方法才管用？

IEEE高級(jí)會(huì)員Shaila Rana表示：“有效的釣魚安全教育需要沉浸式、有吸引力的體驗(yàn)，讓網(wǎng)絡(luò)安全思維成為一種直覺，而非負(fù)擔(dān)。”

她指出，虛擬現(xiàn)實(shí)（VR）和增強(qiáng)現(xiàn)實(shí)（AR）環(huán)境能模擬真實(shí)的工作場(chǎng)景。員工可在這種安全、隔離且無(wú)實(shí)際后果的環(huán)境中練習(xí)做決策，同時(shí)獲得即時(shí)、建設(shè)性的反饋。她進(jìn)一步補(bǔ)充，包含游戲化元素、互動(dòng)敘事，以及能根據(jù)個(gè)人職位和風(fēng)險(xiǎn)特征調(diào)整的場(chǎng)景化學(xué)習(xí)，比通用的郵件模擬測(cè)試更有效。

“理想情況下，未來的反釣魚解決方案應(yīng)將人工智能技術(shù)防御與以人為本的設(shè)計(jì)原則相結(jié)合，讓安全行為成為最容易做出的選擇。”

然而在McGladrey看來，技術(shù)防御必須成為首要策略。

他表示：“我們正進(jìn)入一個(gè)新時(shí)代 —— 即便是具備安全意識(shí)的人，也無(wú)法可靠分辨郵件是合法的還是AI生成的。”

理想的反釣魚解決方案

展望未來，釣魚攻擊培訓(xùn)需與時(shí)俱進(jìn)，以應(yīng)對(duì)不斷變化的威脅，尤其是在全球AI應(yīng)用持續(xù)普及的背景下。

IEEE高級(jí)會(huì)員Márcio Andrey Teixeira指出：“理想的反釣魚防御體系需要具備分層特性。”這包括植入先進(jìn)AI過濾器以攔截惡意信息、采用強(qiáng)身份驗(yàn)證（如無(wú)密碼登錄）以降低損失，以及通過持續(xù)監(jiān)控實(shí)現(xiàn)實(shí)時(shí)威脅檢測(cè)。

人員與員工仍是企業(yè)防御體系中的關(guān)鍵一層 —— 畢竟，針對(duì)現(xiàn)代AI驅(qū)動(dòng)型詐騙的沉浸式、場(chǎng)景化培訓(xùn)，目前仍不可或缺。

Teixeira表示：“人們常說人員是安全防御中最薄弱的一環(huán)，但實(shí)際情況要復(fù)雜得多。僅靠釣魚攻擊培訓(xùn)遠(yuǎn)遠(yuǎn)不夠，配備技術(shù)防御手段同樣必要。”

想了解更多網(wǎng)絡(luò)安全領(lǐng)域的趨勢(shì)嗎？