旅游主题的网络钓鱼BEC活动随着夏季到来变得更智能

针对旅行者的网络钓鱼活动已经从简单、容易发现的欺诈尝试发展到高度复杂的操作。随着夏季假期的临近，以旅游为主题的网络钓鱼骗局愈演愈烈，给个人和组织带来了巨大的挑战。

McAfee最近的一项调查发现，近三分之一(30%)的成年人在寻找特价旅游产品时曾成为或知道有人成为在线骗局的受害者，其中三分之二的受害者损失高达1000美元。

美国网络钓鱼防御中心(PDC)发布了一份报告，揭示了一个网络钓鱼活动，其中威胁行为者冒充人力资源部门，利用用户对雇主的信任。

通过发送欺骗性的电子邮件，罪犯的目的是欺骗毫无戒心的人点击一个链接，据称是为了提交他们的年假申请。

该公司表示，这种商业电子邮件泄露(BEC)威胁代表了以旅游为重点的网络钓鱼活动的演变。点击虚假人力资源通信中的链接会导致一个覆盖受害者公司主页的登录提示，该提示被检测到并从URL中的电子邮件地址自动生成。

这种方法的特点是混合了两种有效的网络钓鱼策略，欺骗人力资源通信和以旅行为主题的网络钓鱼钩子。

研究人员在报告中指出，这种攻击利用了与度假请求相关的常规人力资源程序，并利用了人们对夏季旅游季节的期待和兴奋。

Hoxhunt的联合创始人兼首席执行官米卡•阿尔托解释说:“这是一种复杂的凭证收集策略。信任对社交工程至关重要，虽然许多人会从措辞糟糕的电子邮件中感觉到有些不对劲，但其他人可能会因此而放松警惕。”

阿尔托说:“被欺骗的网站越复杂、越真实，成功欺骗的几率就越高。这几乎就像一个诱饵，糟糕的电子邮件可能会导致潜在的受害者低估威胁，从而在到达一个令人惊讶的看起来很真实的网站时降低警惕。”

他补充说，攻击者不再仅仅依靠电子邮件，他们还利用社交媒体平台、短信甚至电话来联系潜在的受害者。

他说:“展望未来，我们可以预期这些骗局会继续变得复杂，可能会加入人工智能，使他们的网络钓鱼尝试更有说服力。”

此外，如果网络钓鱼模板通过ChatGPT运行，它们将立即成为完美无缺的文字和更有说服力的网络钓鱼诱饵。