QUICK REVIEW

[论文解读] Generating Phishing Attacks using ChatGPT

Sayak Saha Roy, Krishna Vamsi Naragam|arXiv (Cornell University)|May 9, 2023

Spam and Phishing Detection被引用 21

一句话总结

论文展示了如何设计提示，使ChatGPT生成可用的钓鱼网站源代码，包括常规版本和规避版本，冒充50个品牌，并讨论托管、迭代工作量，以及伦理考量。

ABSTRACT

The ability of ChatGPT to generate human-like responses and understand context has made it a popular tool for conversational agents, content creation, data analysis, and research and innovation. However, its effectiveness and ease of accessibility makes it a prime target for generating malicious content, such as phishing attacks, that can put users at risk. In this work, we identify several malicious prompts that can be provided to ChatGPT to generate functional phishing websites. Through an iterative approach, we find that these phishing websites can be made to imitate popular brands and emulate several evasive tactics that have been known to avoid detection by anti-phishing entities. These attacks can be generated using vanilla ChatGPT without the need of any prior adversarial exploits (jailbreaking).

研究动机与目标

评估ChatGPT提示是否能够生成功能性钓鱼网站。
识别能够规避反钓鱼防御的常规与规避型钓鱼攻击变体。
评估部署此类钓鱼攻击的可行性和所需资源。
讨论伦理考量及对基于LLM的钓鱼风险的潜在防御影响。

提出的方法

将提示分解为四个功能组件：设计、获取凭证、利用、凭证转移对象。
迭代性地测试提示，以生成常规版本和八种规避型钓鱼攻击变体，冒充知名品牌。
使用ChatGPT API（gpt-3.5-turbo）生成钓鱼站点的HTML、CSS、JS和PHP代码。
在免费托管平台托管生成的脚本，以评估可行性与部署考量。

Figure 1 : Breaking down the prompt into functional objects to trick ChatGPT into generating the attack

实验结果

研究问题

RQ1在不越狱的情况下，ChatGPT能否通过提示生成功能性钓鱼网站？
RQ2ChatGPT能产生哪些规避技术来绕过反钓鱼检测？
RQ3不同编码者为复现这些钓鱼攻击需要多少次迭代和努力？
RQ4此类生成的钓鱼站点在托管与部署方面的实际考虑因素及影响是什么？

主要发现

ChatGPT可以生成面向50个品牌的常规与规避型钓鱼攻击代码。
展示的各种规避攻击包括基于验证码（CAPTCHA）的、二维码、浏览器内浏览器、iFrame/点击劫持、DOM特征规避、多态URL、文本编码和浏览器指纹识别。
平均而言，具备不同安全专业知识的三名编码者需要不同的迭代次数来生成攻击，附有总结表格，展示各攻击类型所需的努力程度。
钓鱼站点托管在免费平台上，以评估部署可行性，突出对攻击者具有成本效益和快速部署潜力。
研究指出，外部图片可能因训练截止而过时，可以通过后续提示或实时工具刷新资源。

更好的研究，从现在开始

从论文设计到论文写作，大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成，并经人工编辑审核。