随着攻击的持续，数十亿人面临新的紧急 Gmail 安全警告

更新，2024 年 12 月 25 日：这篇文章最初于 12 月 23 日发布，现在对攻击者如何使用人工智能有了更多的了解，并提供了有关如何应对这些威胁的专家建议，以及帕洛阿尔托网络部门新发表的研究的详细信息42 安全小组关于使用创新的大语言模型对抗性 AI 策略来保护 Gmail 和其他用户免受此类涉及 LLM 大规模 JavaScript 恶意软件生成和混淆的攻击。

全球最受欢迎的免费电子邮件平台正受到利用人工智能驱动的威胁的黑客的攻击。根据 Google 自己的数据，Gmail 拥有 25 亿用户，并不是此类攻击的唯一目标，但它肯定是最大的。以下是您需要了解并采取的措施来保护自己。现在。

福布斯埃隆·马斯克 (Elon Musk) Xmail 预告片对数十亿 Gmail 用户构成新威胁经过戴维·温德

人工智能对数十亿 Gmail 用户的威胁解释

Gmail 肯定无法免受威胁行为者的高级攻击，这些攻击者希望利用普通电子邮件收件箱中的敏感数据宝库。正如我最近报道的那样，有一个正在进行的 Google 日历通知攻击依靠 Gmail 才能成功，Google 本身也对第二波 Gmail 攻击发出了警告，其中包括敲诈勒索和基于发票的网络钓鱼等。随着苹果公司还警告 iPhone 用户注意间谍软件攻击，一个臭名昭著的勒索软件团伙死而复生，声称2 月 3 日为下次攻击日期，现在还不是对网络自满的时候。当然不是，当安全供应商世界巨头 McAfee发出新警告这证实了我一直所说的 Gmail 用户面临的最大威胁：人工智能驱动的网络钓鱼攻击令人恐惧。

“诈骗者正在利用人工智能来制作高度逼真的虚假视频或音频录音，假装是来自真人的真实内容，”迈克菲警告说，“随着 Deepfake 技术变得更加容易获得和负担得起，即使是没有任何经验的人也可以使用深度伪造技术。”经验可以产生令人信服的内容。因此，想象一下具有先前经验的人、威胁行为者、诈骗者和黑客可以通过人工智能驱动的攻击产生什么。这些攻击可以轻而易举地欺骗经验丰富的网络安全专家，让其交出可能导致他的 Gmail 帐户遭到黑客攻击的凭据，并带来可能带来的所有后果。

福布斯新的 Gmail 安全警告，警告 25 亿用户——第二波攻击即将到来经过戴维·温德

针对 Gmail 用户的令人信服的人工智能攻击

10 月份，一位名叫 Sam Mitrovic 的 Microsoft 安全解决方案顾问在我报道他如何差点成为人工智能攻击的受害者后迅速走红。如此令人信服，并且是最新一波针对 Gmail 用户的网络攻击的典型特征，值得再次简单提及。事情开始前一周就开始了，让我解释一下：

Mitrovic 收到了有关 Gmail 帐户恢复尝试的通知，显然是来自 Google。他没有理会这一点，电话也随之打来。一周后，谷歌也跟进了。然后，这一切又发生了。这次，米特罗维奇接听：一个自称来自谷歌支持的美国声音，证实 Gmail 帐户存在可疑活动。长话短说，请走吧阅读原著，非常值得，通过快速搜索，来电的号码似乎是 Google，并且呼叫者很乐意发送一封确认电子邮件。然而，作为一名安全顾问，米特罗维奇发现了一些经验不足的用户很可能不会做的事情：“收件人”字段是一个巧妙混淆的地址，实际上并不是真正的 Google 地址。正如我当时所写的那样，“几乎可以肯定的是，攻击者会继续进行所谓的恢复过程，这将有助于捕获登录凭据并完全恢复”。可能还有一个会话 cookie 来启用 2FA 绕过。

夏普英国研究还得出结论：人工智能正在被武器化以应对网络攻击”，并指出了造成这种武器化的六种具体攻击方法。“虽然人工智能在各个领域提供了巨大的好处，”报告指出，“它在网络攻击中的滥用构成了一个重大且日益增长的威胁。”这些威胁是：

1. 人工智能在密码破解中的使用——报告指出，随着机器更好地学习密码创建中使用的模式，人工智能正在取代暴力密码破解策略，这是有充分理由的——人工智能算法可以分析数百万个密码，检测常见趋势，使黑客能够生成高概率的密码猜测。它比沼泽标准的暴力破解更有效，使黑客能够完成攻击过程的此阶段就时间和资源而言，速度更快、成本更低。“人工智能驱动的密码破解工具还能够绕过双因素身份验证，”报告声称，“通过从失败的尝试中学习并随着时间的推移提高成功的机会。”
2. 网络攻击自动化——当坚定的黑客和网络犯罪分子试图侵入您的网络和数据时，任何可以自动化的事情都将被自动化；从漏洞扫描到大规模攻击执行。夏普英国报告称，通过部署人工智能驱动的机器人同时扫描数千个网站或网络，可以发现可被利用的弱点。该利用过程也可以在人工智能的帮助下实现自动化。研究人员表示，人工智能驱动的勒索软件可以自动加密文件，确定索要赎金的最佳方式，甚至可以根据目标的感知财富来调整赎金金额。
3. Deepfakes——正如已经提到的，它们被用于针对 Gmail 用户的攻击。“在一个备受瞩目的案例中，”报告称，“CEO 声音的深度伪造音频被用来欺骗一名员工，将 243,000 美元转入欺诈者的账户。随着 Deepfake 技术的不断发展，人们和组织越来越难以区分真假，这使其成为网络攻击者的强大工具。
4. 数据挖掘——因为人工智能不仅可以让攻击者收集数据，还可以以几年前被认为不可能的速度和规模收集数据，因此毫不奇怪，这是一种资源——正在被使用并且很难使用。“通过使用机器学习算法，网络犯罪分子可以筛选公共和私人数据库，以发现有关其目标的敏感信息，”报告警告说。
5. 网络钓鱼攻击——最适用于 Gmail 攻击威胁的方法，利用人工智能构建和实施真实可信的社会工程攻击。“人工智能工具可以分析社交媒体资料、过去的互动和电子邮件历史记录，”报告警告说，“以制作看似合法的消息。”
6. 恶意软件的大规模演变——人工智能驱动的恶意软件本身就是一种东西，通常具有调整行为以逃避检测的能力。“人工智能增强型恶意软件可以分析网络流量，识别网络安全防御模式，”报告称，“并改变其策略以避免被捕获。”还有一个小问题：代码更改多态性使安全研究人员更难识别，并且正如我们稍后将探讨的那样，使用大型语言模型以速度和规模创建这些微妙的恶意软件变体。

福布斯Google 用户数据清除正在进行中——您需要了解的内容经过戴维·温德

“Sharp 最近的研究结果强调了组织需要采取不同的方法进行网络安全意识培训，”ThinkCyber​​ Security 安全行为和分析总监 Lucy Finlay 表示，“这种转变对于保护人们免受新出现的威胁（例如旨在非常有效地操纵员工的深度伪造网络钓鱼）至关重要。“夏普最近的研究结果强调了组织的必要性采取不同的方法进行网络安全意识培训，”ThinkCyber​​ Security 安全行为和分析总监 Lucy Finlay 表示，“这种转变对于保护人们免受深度伪造网络钓鱼等新出现的威胁至关重要，这些威胁旨在非常有效地操纵员工芬利警告说，三分之一的员工声称“对发现网络威胁充满信心”，但没有引用该统计数据的来源，并指出这是一个自我报告的指标。我并不怀疑这些数字，说实话，如果有的话，我的经验表明，由于人们往往高估自己的能力，这个数字甚至可能更高。“事实上，”芬利总结道，“如果遇到复杂的深度造假骗局，他们很可能很难识别出来。”

Unit 42 研究人员开发新的对抗性机器学习算法，可以帮助 Gmail 和其他用户防御人工智能驱动的恶意软件

Palo Alto Networks 的 Unit 42 小组最新发表的研究详细介绍了如何通过开发对抗性机器学习算法来采用大型语言模型来大规模生成恶意 JavaScript 代码，在野外对这些由 AI 驱动的威胁的检测可减少多达 10%。用户和那些致力于防御网络威胁的人面临的大问题之一是，虽然“法学硕士很难从头开始创建恶意软件”，但 Unit 42 的研究人员 Lucas Hu、Shaown Sarker、Billy Melicher、Alex StarovWei Wang、Nabeel Mohamed 和 Tony Li 表示：“犯罪分子可以轻松地利用它们来重写或混淆现有恶意软件，从而使其更难以检测。”对于防御者来说，检测现有的现成混淆工具相对容易，因为他们的指纹是众所周知的，他们的行为已经被编目。法学硕士改变了混淆游戏，使攻击者的胜算变得有利于攻击者，因为他们可以使用人工智能提示“执行看起来更自然的转换，”报告指出，“这使得检测这种恶意软件变得更加容易”。具有挑战性。最终的目标是，通过使用多层此类转换，欺骗恶意软件分类器，使其认为恶意代码实际上是完全良性的。

福布斯谷歌和微软用户因新的 2FA 绕过攻击报告而发出警告经过戴维·温德Unit 42 设法使用 LLM 本身创建一种算法来重写恶意 JavaScript 代码，不断应用大量重写步骤来欺骗静态分析模型。

“在每一步，”研究人员说，“我们还使用了行为分析工具来确保程序的行为保持不变。”为什么这很重要？因为，鉴于攻击者可以使用生成式人工智能工具，正如我们在针对 Gmail 用户的各种攻击中所看到的那样，恶意代码变体的规模和检测它们的难度将继续增长。Unit 42 的工作展示了防御者如何“使用相同的策略重写恶意代码，以帮助生成可以提高 ML 模型稳健性的训练数据。”事实上，Unit 42 表示，通过使用提到的重写技术，它可以能够开发出一种新的基于深度学习的恶意 JavaScript 检测器，该检测器目前“在高级 URL 过滤中运行，每周检测数万个基于 JavaScript 的攻击。”

Gmail 和 McAfee 建议您采取哪些措施来缓解持续的 AI 攻击

当谈到缓解建议时，有些建议可能比其他建议更相关。以联邦调查局最近的建议为例，该建议建议通过检查拼写错误和语法不一致来验证网络钓鱼电子邮件。正如我所指出的，这是非常过时的建议，因此在当今人工智能驱动的威胁环境中毫无意义。

福布斯FBI 错了——这个 Gmail 攻击建议对您没有任何帮助经过戴维·温德

迈克菲的建议是“通过可信的替代方法仔细检查任何意外请求并依靠旨在检测深度伪造操作的安全工具来保护自己”，而且效果要好得多。

然而，最好的还是来自谷歌本身的建议减轻针对 Gmail 用户的攻击并可分为以下要点：

• 如果您收到警告，请避免点击链接、下载附件或输入个人信息。– Google 使用高级安全功能来警告您有关危险消息、不安全内容或欺骗性网站的信息， – Google 表示， – 即使您没有收到警告，也不要点击链接、下载文件或进入来自不可信或未知提供商的电子邮件、消息、网页或弹出窗口中的个人信息。
• 不要通过电子邮件、短信或电话回复索取您私人信息的请求，并始终保护您的个人和财务信息。
• 如果您认为看似来自 Google 的安全电子邮件可能是假的，请直接访问 myaccount.google.com/notifications。“在该页面上，”Google 表示，“您可以检查您的 Google 帐户最近的安全活动。”
• 谨防看似来自您信任的人（例如朋友、家人或同事）的听起来很紧急的消息。
• 如果您点击链接并要求输入 Gmail、Google 帐户或其他服务的密码：请勿输入。“相反，请直接访问您想要使用的网站，”Google 表示，其中包括您的 Google/Gmail 帐户登录信息。

福布斯Gmail 接管黑客攻击 - Google 表示您有 7 天的时间采取行动经过戴维·温德