点击欺诈激增500%,AI助力网络犯罪升级
快速阅读: 2025年初,Clickfix攻击激增500%,网络犯罪分子利用AI实施更难识别的钓鱼攻击和BEC骗局,尤其针对教育、IT等行业,建议加强多因素认证和员工培训。
2025年初,Clickfix攻击激增500%。网络犯罪分子开始在商业电子邮件欺诈(BEC)骗局中利用人工智能(AI)。AI使得钓鱼攻击更加难以识别。网络犯罪分子正将其技术转向人类因素,Clickfix社会工程和AI滥用变得更为普遍。
此外,一种新的网络攻击手段诱导受害者自行实施黑客行为,如何识别这种攻击的方法也已公布。
周三,Mimecast发布了最新的《全球威胁情报报告》,该报告追踪了从2025年1月至9月期间的威胁活动,并分析了数万亿个信号。报告中提及了现代网络威胁的常见类型,包括钓鱼、勒索软件、流行商务工具(如DocuSign)的漏洞利用以及行业特定威胁。然而,两个趋势表明了针对人类因素的诈骗手段发生了变化,这些手段以更高的效率锁定目标。
Clickfix攻击率上升
许多网络安全公司和技术巨头,包括微软,都在警告用户注意Clickfix——这是一种被全球威胁行为者采用的社会工程学技术。Clickfix通过诱骗受害者提供初始访问权限来绕过传统的反钓鱼技术,从而无需依赖恶意软件。向受害者展示的假错误消息、看似轻微的技术问题警报以及更可疑的信息,例如声称可以免费安装授权软件的消息,通常会附带一个简单的步骤指南。
不幸的是,这些“指南”指示用户启动PowerShell并输入命令,触发下载恶意负载,包括信息窃取器和勒索软件。Mimecast报告称,2025年上半年Clickfix攻击率激增了500%,占所有攻击的大约8%。
Mimecast威胁研究工程师Hiwot Mendahun告诉ZDNET,威胁行为者正在采用Clickfix作为初始访问手段,该公司认为“这将继续被用于下载信息窃取器、勒索软件、远程访问木马(RATs)和自定义恶意软件。”“我们还看到使用远程监控和管理(RMM)工具实现初始访问的方式也在增加,这些活动确实专注于社会工程方面。”Mendahun补充道。
新一波AI驱动的BEC骗局
任何新技术创新都会伴随滥用现象。例如,人工智能(AI)越来越多地被应用于钓鱼和商业电子邮件欺诈(BEC)骗局中。虽然在钓鱼和BEC骗局中冒充员工或知名高管并非新鲜事,但AI正以使邮件链看起来更加可信的方式被使用——不仅仅是创建初始钓鱼邮件。
Mimecast表示,AI被用来生成完整的对话链,冒充多个角色,包括供应商、高管和第三方。例如,在侦察阶段,攻击者可能找到可用于AI生成邮件线程的财务信息、报告、人力资源数据和薪资信息。然后,AI被用来伪造供应商、员工和知名人物之间的对话,通常带有紧迫感,比如立即支付账单的要求。
最近的BEC攻击手段集中在虚假发票支付、银行账户信息变更、薪资更新和电汇上。团队认为,随着深度伪造语音和视频内容的滥用,这些骗局将变得更加难以检测。而且,由于AI工具易于获取,更多的网络犯罪分子将能够进入这一领域。
Mimecast的Mendahun评论说:“在这些活动中使用AI赋予了威胁行为者真正大规模生产更具针对性的对话线程的能力,使用自动化并且可能修改内容以帮助绕过基于内容的检测。”“除了自动化的电子邮件外,我们确实看到了BEC活动中使用深度声音和视频的情况,这提高了大规模欺诈交易的成功率。”
谁面临风险?
据Mimecast称,教育、信息技术、电信、法律行业和房地产公司最容易受到冒充和社会工程攻击的影响,“因为这些行业通常直接接触高价值目标,处理敏感的金融交易,并管理客户的机密信息。”
关于房地产,公司表示,社会工程攻击率正在稳步上升,这可能表明一些犯罪集团正在转向这一领域,远离更为传统的目标。据称,Scattered Spider 和 TA2541 等组织已与针对这些行业的攻击有关联。
钓鱼和社交工程攻击并非新鲜事,但其实施方式不断演变,Clickfix 技术又增加了新的危险因素。为降低成功入侵的风险,建议采取以下措施:
– 增加控制:通过在多个平台或部门实施额外的身份验证和授权检查,可以增加发现未经授权的欺诈发票和商业电子邮件入侵(BEC)相关支付请求的机会,防止损失发生。
– 多因素认证(MFA):即使钓鱼活动得逞,使用双因素认证(2FA)或多因素认证(MFA)也能降低账户被劫持的风险。
– 培训与意识:特别是那些具有特权状态并能访问敏感资源或支付系统的员工,应该定期接受培训,以识别钓鱼、BEC 和社交工程尝试。这不应是一次性的年度培训。
– 零信任架构:如果可能,组织应考虑基于零信任原则实施系统架构和控制,确保员工无法访问对其工作角色非必要的任何资源,从而减少攻击面。
– 关于 Clickfix 社交工程战术:传统反钓鱼方法在此不起作用,因为它们旨在诱使受害者自行执行恶意活动。提高对 Clickfix 的认识,并强调当不确定命令将执行什么操作时提交命令是危险的,可能导致系统完全被劫持。
欲了解更多关于人工智能的故事,请查看我们的《AI Leaderboard》周刊。
(以上内容均由Ai生成)
