網絡釣魚一直是安全漏洞的主要來源——這一重大問題,盡管經過了多年的安全意識培訓,但至今仍是網絡安全方面的首要關注點。
不過,由于戰術的改進和AI技術的惡意再利用,這種長期存在的社交攻擊手段不斷演變,網絡犯罪分子正在尋找新的方法來誘騙用戶點擊惡意鏈接。游戲(本質上)還是一樣的,只是變得更加激烈了。
攻擊者不再只是復制標志和偽造域名,他們會劫持合法的電子郵件線程,在持續的對話中嵌入惡意鏈接,甚至使用被攻陷的商業電子郵件,以使他們的網絡釣魚行為看起來更加逼真。
AI技術使網絡釣魚活動能夠比以往任何時候都更快、更容易地部署,同時確保完美的拼寫和語法,以及一系列操縱手段,如暗示緊迫性或利用已在線共享的信息來提高相關性。
記者向專家征求了意見,以了解網絡犯罪分子為改變其網絡釣魚手段而采用的關鍵戰術變化,以及這些手段如何使網絡釣魚更具針對性和有效性。首席信息安全官和網絡安全團隊明智的做法是在他們的培訓計劃中融入這些知識,并在可能的情況下測試相關場景。
他們在利用GenAI方面變得狡猾
攻擊者越來越多地使用GenAI來模仿寫作風格,規避傳統的網絡釣魚紅旗,甚至根據公開數據個性化欺詐電子郵件。
英國阿爾斯特大學網絡安全教授、IEEE高級成員凱文·柯倫表示:“GenAI現在被用于編寫更具‘吸引力’和利潤豐厚的網絡釣魚電子郵件。由于其關鍵功能之一是能夠基于用戶的輸入實時生成回復,它現在被部署在詐騙場景中,人們被騙得以為他們是在與真人交流。”
例如,WormGPT擁有大型語言模型(LLM)的支撐,能夠發送沒有錯誤的電子郵件,這類錯誤長期以來一直與網絡釣魚詐騙有關。
GhostGPT是另一個面向網絡犯罪的AI聊天機器人,已被用于創建精細的網絡釣魚電子郵件,包括假冒的DocuSign請求,以近乎完美的模仿合法品牌通信。
最近,大型語言模型也被用于自動生成虛假的著陸頁。
Recorded Future的威脅情報分析師阿蘭·利斯卡表示:“GenAI最常用于快速生成成千上萬種獨特的、母語化的誘餌。通過這種方式,這種尖端技術被用于創建大量看似合法的詐騙郵件,因為語言看起來更加真實,且不那么可疑。”
利斯卡補充道:“它可以使網絡釣魚郵件更難被檢測,首席安全官們可能需要考慮通過安全模擬這類攻擊來教育員工并建立防御能力。”
他們使用語音和視頻進行誘騙
不法分子還利用AI從在線音頻和視頻片段或圖像中克隆聲音和形象的能力。
結合可以模仿來電顯示的工具,網絡犯罪分子可以通過打電話并冒充受害者的家人、朋友或工作同事來尋求緊急幫助,從而欺騙目標。這類電話可以逼真地模仿受信任人士的聲音和舉止。
身份驗證供應商Yubico英國和愛爾蘭地區總監尼爾·麥康納奇表示:“這些技術已經被攻擊者廣泛使用,再加上網絡犯罪分子在使用AI方面變得更加熟練和自在,我們可以預見在不久的將來,AI在助力網絡攻擊方面將出現更多創新性的用途。”
AI也使網絡犯罪分子能夠創建越來越復雜的語音和視頻換臉技術,從而促進網絡釣魚行為。例如,工程公司Arup的香港子公司被騙走2560萬美元,起因是一名財務人員在一場有換臉后的“首席財務官”出席的視頻會議后,被騙轉發了相關表格。
他們正在復活虛假的“線程”和回復鏈
網絡犯罪分子在劫持受害者的收件箱后復活的“僵尸”電子郵件線程并不是什么新鮮事,但在GenAI的支持下,它們可能會變得越來越逼真。
ThinkCyber Security安全行為與分析主管露西·芬萊表示:“以前,這類電子郵件的語氣或上下文與發件人正在模仿的合法郵件相比,會更容易被識別為‘不對勁’。但GenAI能夠更容易地瀏覽之前的鏈條,并使用正確的語氣生成網絡釣魚郵件,使其成為一個更加可信的誘餌。”
他們正在運行ClickFix攻擊,欺騙PowerShell新手
ClickFix攻擊涉及發送包含指向惡意網站的鏈接的電子郵件,當受害者訪問時,會提示他們打開“運行”對話框,并復制粘貼一行SQL在其機器上執行,這通常是在偽裝成修復原始電子郵件所基于的問題的幌子下進行的。
威脅情報供應商Silobreaker的研究主管漢娜·鮑姆加特納表示:“在過去六個月里,這種所謂的新ClickFix社會工程學技術越來越多地被威脅行為者作為其網絡釣魚活動的一部分。”
該技術涉及各種誘餌,以說服用戶將PowerShell腳本粘貼到“運行”命令中,從而導致惡意軟件感染。使用這種技術交付的惡意軟件包括Lumma Stealer、StealC、NetSupport等。
雖然這項技術本身相對較新,但誘餌本身卻相當普遍,包括關于發票、需要簽名的文檔或虛假驗證碼的網絡釣魚電子郵件。
他們正在更加逼真地冒充受信任的品牌
品牌冒充仍然是欺騙用戶打開惡意文件或在釣魚網站上輸入信息的首選方法。威脅行為者通常會冒充大品牌,包括文檔共享平臺,如微軟的OneDrive和SharePoint,以及日益頻繁的DocuSign。
攻擊者通過偽造這些品牌來利用員工對這些常用應用程序的固有信任,然后誘騙收件人輸入憑證或批準欺詐性的文檔請求。
例如,電子郵件安全公司Abnormal Security報告了一起針對依賴聯合身份驗證系統的組織的網絡釣魚活動,該活動使用偽造的微軟Active Directory Federation Services(ADFS)登錄頁面來收集憑證并繞過多重身份驗證。
Abnormal Security威脅情報主管皮奧特·沃蒂拉表示:“在這次活動中,攻擊者利用ADFS登錄頁面的受信任環境和熟悉設計來誘騙用戶提交其憑證和第二因素認證詳情。這些攻擊的成功得益于高度逼真的網絡釣魚技術,包括偽造的發件人地址、合法品牌和URL混淆。”
受害者經常被欺騙去查看、下載或簽署虛假文件,如發票,并被提示輸入個人信息,這些信息隨后會被攻擊者竊取。
Richard LaTulip(Recorded Future的現場首席信息安全官)補充道:“這種類型的攻擊正在演變,涉及更復雜的域名冒充,包括仿冒域名和同音異義字攻擊,這些攻擊能夠繞過傳統的電子郵件過濾器。”
他們正在濫用受信任的服務
網絡釣魚的另一個重要演變是濫用受信任的服務和內容分發平臺。
攻擊者越來越多地使用合法的文檔簽名和文件托管服務來分發網絡釣魚誘餌。他們首先將這些惡意內容上傳到聲譽良好的提供商,然后制作包含對這些受信任服務和內容分發平臺引用的網絡釣魚電子郵件或消息。
“由于這些服務托管了攻擊者的內容,即使警惕的用戶在點擊前檢查網址,也可能仍會上當受騙,因為這些鏈接看似來自合法且知名的平臺,”Greg Linares(托管檢測和響應供應商Huntress的首席威脅情報分析師)警告說。“利用這些受信任的提供商,攻擊者可以確保受害者在不知情的情況下下載惡意文件,同時繞過基于允許列表和聲譽的安全系統,否則這些系統將會阻止他們的網絡釣魚嘗試。”
他們正在利用二維碼
越來越多的網絡犯罪分子正在利用二維碼的普及來執行基于二維碼的網絡釣魚攻擊。
“釣魚”(QR碼釣魚)的興起是對電子郵件安全改進的直接回應。攻擊者知道傳統的網絡釣魚鏈接會被過濾器標記,因此他們轉向推送惡意二維碼,以此繞過電子郵件安全過濾器。
攻擊者可以在電子郵件中嵌入惡意二維碼,并將其偽裝成多因素身份驗證(MFA)提示、交付通知或企業登錄請求。這些二維碼通常會鏈接到看似合法的門戶網站的憑據收集網站。
Abnormal Security的Wojtyla表示:“隨著二維碼在營銷、身份驗證和商業交易中越來越普遍,用戶更容易信任它們。我們發現,在所有繞過原生垃圾郵件過濾器的攻擊中,現在有17%使用了二維碼,其中89%是憑據網絡釣魚。”
Richard Bullock(托管服務提供商razorblue的網絡安全主管)補充道:“我們還看到二維碼被用于‘多階段網絡釣魚’,其中第一次掃描會將用戶引導到看似合法的頁面,但在延遲一段時間后,或者在驗證用戶設備類型后,用戶會被重定向到憑據收集網站。由于移動設備通常缺乏與企業臺式機相同的安全監督,這種方法證明非常有效。”
網絡安全供應商Sophos的全球現場首席信息安全官兼總監Chester Wisniewski預測,釣魚可能只是一個暫時的趨勢,因為安全服務已經意識到這一伎倆,這可能會迫使網絡犯罪分子改變戰術。
Wisniewski告訴記者:“許多電子郵件服務之前不會檢查嵌入在PDF或Office文檔中的二維碼,但現在,由于它們開始檢查,因此利用此方法繞過統一資源標識符(URI)過濾的有效性應該會降低。我們還開始看到濫用可縮放矢量圖形(SVG)文件的情況,這是另一種經常被忽視的格式,因此如果網絡釣魚方式有所轉變,SVG可能會成為新的二維碼。”
攻擊者還被發現使用在電子郵件釣魚中巧妙制作的ASCII二維碼。
他們正在利用圖像繞過安全過濾器
基于圖像的網絡釣魚正在變得越來越復雜。例如,詐騙者正在制作看起來像是基于文本的電子郵件的圖像,以提高其表面真實性,同時仍然繞過傳統的電子郵件過濾器。
Recorded Future的LaTulip評論道:“這種類型的攻擊是傳統基于文本的網絡釣魚的演變,是犯罪分子對電子郵件安全過濾器進步的回應。嵌入式圖像用于繞過電子郵件過濾器,圖像用于偽裝惡意內容或鏈接。”
點擊這些圖像后,毫無戒心的員工將被引導到憑據收集網站或被植入惡意軟件的網站。
LaTulip說:“犯罪分子還可能通過更改顏色或大小來持續編輯和修改圖像。這通常是為了使圖像保持新鮮,從而增加其避免被檢測到的機會。”
他們正在使用俄羅斯前沿陣地
KnowBe4報告稱,從2024年12月到2025年1月,利用俄羅斯(.ru)頂級域名的網絡釣魚活動激增。
KnowBe4威脅研究團隊注意到,這些主要針對憑據收集的網絡釣魚活動增加了98%。
一些俄羅斯.ru域名由所謂的“防彈”托管提供商運營,這些提供商以維持惡意域名運行并忽略針對其網絡犯罪分子客戶網站的濫用報告而聞名。
他們正在加強情報收集
在暗網和黑客論壇上,AI輔助的工具集變得越來越普遍。
“這些工具可以抓取社交媒體帖子,甚至可以通過圖片和帖子確定用戶的精確地理位置,這是一種越來越普遍的戰術,”Huntress的Linares說。
其他情報收集工具則專注于組織而非個人。這些工具可以抓取LinkedIn、招聘網站、DNS記錄、網絡托管服務和第三方服務提供商的信息,以發現有關公司基礎設施、軟件堆棧、內部工具、員工、辦公地點以及其他可能的社會工程或網絡攻擊目標的寶貴見解。
老練的攻擊者還在重新利用合法的營銷工具和平臺,以確定搜索引擎優化劫持和網絡釣魚攻擊的最佳機會,從而最大限度地提高詐騙的覆蓋面和有效性。
他們正在通過PhaaS實現專業化
根據網絡安全供應商Barracuda的數據,到2025年,網絡釣魚即服務(PhaaS)工具包預計將占憑據盜竊攻擊的一半(50%),而2024年這一比例為30%。
Barracuda預測,這些平臺正在發展包括允許網絡犯罪分子竊取多因素身份驗證(MFA)代碼和使用更高級的逃避技術(如使用基于QR碼的載荷)等功能。
PhaaS平臺提供基于訂閱的工具和服務套件,包括儀表板和被盜憑據存儲,這些工具和服務可促進網絡釣魚攻擊。這些助長網絡犯罪的工具包通過Telegram、暗網論壇和地下市場出售。據網絡威脅管理公司Adarma稱,訂閱費用為每月350美元起。
使用最廣泛的此類平臺——Tycoon 2FA——被Barracuda歸咎為觀察到的89%的PhaaS事件。該平臺利用加密腳本和不可見的Unicode字符來逃避檢測、竊取憑據,并通過Telegram竊取數據。
Barracuda在最近的一篇技術博客文章中介紹道,Sneaky 2FA旨在實施中間人攻擊,濫用Microsoft 365的“自動抓取”功能來預先填充虛假登錄頁面,過濾掉非目標對象并繞過2FA。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號