网络犯罪分子正在改变其社会工程欺骗手段,以增加真实性、更好地绕过过滤器并更有针对性地瞄准潜在受害者。
网络钓鱼长期以来一直是安全漏洞的主要来源——尽管经过多年的安全意识培训,但这一重大问题仍然是当今网络安全的首要问题。
但是,由于策略的改进以及人工智能技术的恶意利用,长期存在的社会工程技术不断发展,网络犯罪分子正在寻找新方法来诱骗用户点击不良链接。游戏(本质上)是一样的;只是变得更加激烈。
攻击者不再只是复制徽标和欺骗域名;他们劫持合法的电子邮件线程,在正在进行的对话中嵌入恶意链接,甚至使用受感染的商业电子邮件使他们的网络钓鱼尝试看起来更真实。
人工智能技术使网络钓鱼活动能够比以往更快、更轻松地部署,同时促进完美的拼写和语法以及一系列操纵策略,例如暗示紧迫性或利用已在线共享的信息来增加相关性。
CSO 对专家进行了调查,找出了网络犯罪分子为改进其网络钓鱼技术而采用的关键战术变化,以及这些技术如何帮助使网络钓鱼更具针对性和有效性。首席信息安全官和网络团队最好将这些知识纳入他们的培训计划中,并在可能的情况下测试各种场景。
他们利用生成式人工智能变得更加聪明
攻击者越来越多地使用生成式人工智能来模仿写作风格,避免传统的网络钓鱼危险信号,甚至根据公开数据个性化欺诈性电子邮件。
Gen AI 现在被用来编写更‘引人注目’、更有利可图的网络钓鱼电子邮件。Gen AI 的一个主要功能是能够根据用户的输入实时生成响应,现在它被部署在诈骗场景中,人们被欺骗,以为他们正在与真人交流。
例如,WormGPT 拥有大型语言模型 (LLM) 的强大功能,使得发送电子邮件时不会出现长期以来与网络钓鱼诈骗相关的错误。
GhostGPT 是另一个以网络犯罪为导向的人工智能聊天机器人,它被用来创建精心设计的鱼叉式网络钓鱼电子邮件,包括虚假的 DocuSign 请求,几乎完美地模仿合法的品牌通讯。
最近,LLM 也被用来自动生成虚假登陆页面。
生成式人工智能最常用于快速生成数千个独特的母语诱饵。通过这种方式,这种复杂的技术被用来创建大量看似合法的诈骗电子邮件,因为语言看起来更真实,也更不可疑。
它可以使网络钓鱼电子邮件更难被发现,而 CSO 可能希望通过安全地模拟此类攻击来教育员工并增强抵御能力。
他们用语音和视频引诱
不良行为者还利用人工智能的能力,从网上的音频和视频片段或图像中克隆声音和肖像。
结合模仿来电显示的工具,网络犯罪分子可以拨打电话,假装是家人、朋友或同事寻求紧急援助,从而欺骗目标。此类电话可以令人信服地模仿值得信赖的人的声音和举止。
这些技术已经被攻击者广泛使用 - 再加上网络犯罪分子越来越熟练地使用人工智能,我们可以期待在不久的将来看到更多创新的人工智能应用来发动网络攻击。
人工智能还允许网络犯罪分子制作越来越复杂的语音和视频深度伪造,以方便网络钓鱼。例如,工程公司奥雅纳 (Arup) 的香港子公司在与一名财务员工进行视频电话会议后被骗走 2560 万美元,该会议由一名深度伪造的“首席财务官”主持。
他们正在复活虚假的“帖子”和回复链
“僵尸”电子邮件线索(网络犯罪分子劫持受害者收件箱后复活的邮件链)并不是什么新鲜事,但在生成式人工智能的支持下,它们可能会变得越来越可信。
以前,这类电子邮件更容易被识别,因为与它们模仿的发件人的真实电子邮件相比,它们的语气或上下文似乎‘不对劲’。Gen AI 可以让你更轻松地浏览之前的邮件链,并使用正确的语气生成钓鱼邮件,使其成为更可信的诱饵。
他们正在运行 ClickFix 攻击来欺骗 PowerShell 新手
ClickFix 攻击涉及发送带有恶意网站链接的电子邮件,当受害者访问这些网站时,会提示受害者打开运行对话框,并复制粘贴一行 SQL 在其机器上执行,通常打着修复原始电子邮件所基于的问题的幌子。
在过去六个月中,威胁行为者越来越多地使用所谓的 ClickFix 社会工程技术作为网络钓鱼活动的一部分。
该技术使用各种诱饵诱使用户将PowerShell 脚本粘贴到运行命令中,从而导致恶意软件感染。观察到使用该技术传播的恶意软件包括 Lumma Stealer、StealC、NetSupport 等。
虽然该技术本身相对较新,但诱饵本身却很常见,包括有关发票、要签署的文件或伪造的验证码的网络钓鱼电子邮件。
他们更加令人信服地模仿值得信赖的品牌
冒充品牌仍然是诱骗用户打开恶意文件或在钓鱼网站上输入详细信息的常用方法。威胁行为者通常会冒充主要品牌,包括 Microsoft 的 OneDrive 和 SharePoint 等文档共享平台,以及越来越频繁使用的 DocuSign。
攻击者利用员工对常用应用程序的固有信任,通过伪造其品牌,诱骗收件人输入凭证或批准欺诈性文档请求。
例如,电子邮件安全公司 Abnormal Security 报告了一场正在进行的网络钓鱼活动,该活动针对依赖联合身份验证系统的组织,使用伪造的 Microsoft Active Directory 联合身份验证服务 (ADFS) 登录页面来获取凭据并绕过多因素身份验证。
在这次活动中,攻击者利用 ADFS 登录页面的可信环境和熟悉的设计,诱骗用户提交他们的凭证和双重身份验证详细信息。这些攻击的成功得益于极具说服力的网络钓鱼技术,包括伪造的发件人地址、合法品牌和 URL 混淆。
受害者经常被欺骗查看、下载或签署虚假文件(例如发票),并被提示输入个人信息,然后攻击者窃取这些信息。
这些类型的攻击正在随着更复杂的域名模仿而不断发展,包括逃避传统电子邮件过滤器的相似域名和同形字符攻击。
他们滥用受信任的服务
网络钓鱼的另一个重大演变涉及滥用可信服务和内容交付平台。
攻击者越来越多地使用合法的文档签名和文件托管服务来分发网络钓鱼诱饵。他们首先将恶意内容上传到信誉良好的提供商,然后制作引用这些受信任的服务和内容交付平台的网络钓鱼电子邮件或消息。
由于这些服务托管了攻击者的内容,因此警惕的用户在点击之前检查 URL 仍可能被误导,因为这些链接似乎属于合法且知名的平台。
通过利用这些受信任的提供商,攻击者可以确保受害者在不知情的情况下下载恶意文件,同时绕过原本可以阻止其网络钓鱼尝试的允许列表和基于信誉的安全系统。
他们正在设置二维码
越来越多的网络犯罪分子利用二维码的流行来实施基于二维码的网络钓鱼攻击。
“Quishing”(二维码钓鱼)的兴起是对电子邮件安全性提高的直接回应。攻击者知道传统的钓鱼链接会被过滤器标记,因此他们转而推送恶意二维码,以此来绕过电子邮件安全过滤器。
攻击者可以在电子邮件中嵌入恶意二维码,并将其伪装成多重身份验证 (MFA) 提示、交付通知或公司登录请求。这些代码通常会将用户引导至与合法门户网站极为相似的凭证窃取网站。
随着二维码在营销、身份验证和商业交易中越来越常见,用户更有可能信任它们。我们发现,现在绕过原生垃圾邮件过滤器的所有攻击中有 17% 使用二维码,而凭证钓鱼占这些案例的 89%。
我们还发现二维码被用于‘多阶段网络钓鱼’,第一次扫描会将用户引导至看似合法的页面,但经过一段时间(或验证用户的设备类型后)后,他们会被重定向到凭证收集网站。由于移动设备通常缺乏与公司台式机相同的安全监督,因此这种方法被证明非常有效。
随着安全服务部门逐渐认识到这一伎俩,这种攻击方式可能只是暂时的趋势,并有可能迫使网络犯罪分子改变其策略。
许多电子邮件服务不会检查嵌入在 PDF 或 Office 文档中的二维码,但现在这种方法绕过 URI 过滤的有效性应该已经降低了。
我们还开始看到 SVG [可缩放矢量图形] 文件的滥用,这是另一种经常被忽视的格式,因此如果发生转变,SVG 可能会成为新的二维码。
攻击者还发现在网络钓鱼电子邮件中使用以 ASCII 偷偷制作的二维码。
他们依靠图像来绕过安全过滤器
基于图像的网络钓鱼变得越来越复杂。例如,欺诈者会将图像制作成看起来像基于文本的电子邮件,以提高其真实性,同时仍能绕过传统的电子邮件过滤器。
这种攻击是更传统的基于文本的网络钓鱼的演变,是犯罪分子对电子邮件安全过滤器的进步做出的回应。嵌入的图像用于绕过电子邮件过滤器,图像用于伪装恶意内容或链接。
跟踪这些图像将会把毫无戒心的员工引导至凭证窃取或漏洞利用的网站。
犯罪分子还可能通过改变颜色或大小来不断编辑和调整图像。这样做通常是为了保持图像的新鲜度,从而增加其避免被发现的机会。
他们利用俄罗斯的阵线
KnowBe4 报告称, 2024 年 12 月至 2025 年 1 月期间,利用俄罗斯 (.ru) 顶级域名的网络钓鱼活动激增。
KnowBe4 威胁研究团队注意到,此类网络钓鱼活动增加了 98%,其主要目的是获取凭证。
一些俄罗斯 .ru 域名由所谓的“防弹”托管服务提供商运营,这些服务提供商以保持恶意域名运行并忽略针对其网络犯罪客户运营的网站的滥用报告而闻名。
他们正在加强情报收集
在暗网和黑客论坛上,人工智能辅助工具集变得越来越普遍。
这些工具可以抓取社交媒体帖子,甚至可以通过图片和帖子识别用户的确切地理位置——这是一种越来越普遍的策略。
其他情报收集工具则侧重于组织而非个人。这些工具可以抓取 LinkedIn、招聘网站、DNS 记录、网络托管服务和第三方服务提供商的信息;以发现有关公司基础设施、软件堆栈、内部工具、员工、办公地点和其他潜在社会工程或网络攻击目标的宝贵见解。
老练的攻击者还会重新利用合法的营销工具和平台来寻找 SEO 劫持和网络钓鱼攻击的最佳机会,从而最大限度地扩大诈骗的覆盖范围和有效性。
他们通过 PhaaS 实现专业化
预计到 2025 年,网络钓鱼即服务 ( PhaaS) 工具包将占凭证盗窃攻击的一半 (50%),高于 2024 年的 30% 。
这些平台正在不断发展,包含允许网络犯罪分子窃取多因素身份验证 (MFA) 代码并采用更先进的逃避技术(例如使用基于 QR 的有效载荷)的功能。
PhaaS 平台提供一套基于订阅的工具和服务,包括仪表板和被盗凭证存储,以方便网络钓鱼攻击。这些网络犯罪工具包通过 Telegram、暗网论坛和地下市场出售。网络威胁管理公司 Adarma 称,订阅费用为每月 350 美元起。
最广泛使用的此类平台 Tycoon 2FA 导致了 89% 的 PhaaS 事件,该平台利用加密脚本和隐形 Unicode 字符来逃避检测、窃取凭证并通过 Telegram 窃取数据。
Sneaky 2FA 专为中间人攻击而设计,它滥用 Microsoft 365 的“自动抓取”功能预先填充虚假登录页面,过滤掉非目标并绕过 2FA。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
