网络犯罪分子正在改变其社交攻击的欺诈手段,以提高真实性,更好地绕过过滤器,并更有针对性地瞄准潜在受害者。
网络钓鱼一直是安全漏洞的主要来源——这一重大问题,尽管经过了多年的安全意识培训,但至今仍是网络安全方面的首要关注点。
不过,由于战术的改进和AI技术的恶意再利用,这种长期存在的社交攻击手段不断演变,网络犯罪分子正在寻找新的方法来诱骗用户点击恶意链接。游戏(本质上)还是一样的,只是变得更加激烈了。
攻击者不再只是复制标志和伪造域名,他们会劫持合法的电子邮件线程,在持续的对话中嵌入恶意链接,甚至使用被攻陷的商业电子邮件,以使他们的网络钓鱼行为看起来更加逼真。
AI技术使网络钓鱼活动能够比以往任何时候都更快、更容易地部署,同时确保完美的拼写和语法,以及一系列操纵手段,如暗示紧迫性或利用已在线共享的信息来提高相关性。
记者向专家征求了意见,以了解网络犯罪分子为改变其网络钓鱼手段而采用的关键战术变化,以及这些手段如何使网络钓鱼更具针对性和有效性。首席信息安全官和网络安全团队明智的做法是在他们的培训计划中融入这些知识,并在可能的情况下测试相关场景。
他们在利用GenAI方面变得狡猾
攻击者越来越多地使用GenAI来模仿写作风格,规避传统的网络钓鱼红旗,甚至根据公开数据个性化欺诈电子邮件。
英国阿尔斯特大学网络安全教授、IEEE高级成员凯文·柯伦表示:“GenAI现在被用于编写更具‘吸引力’和利润丰厚的网络钓鱼电子邮件。由于其关键功能之一是能够基于用户的输入实时生成回复,它现在被部署在诈骗场景中,人们被骗得以为他们是在与真人交流。”
例如,WormGPT拥有大型语言模型(LLM)的支撑,能够发送没有错误的电子邮件,这类错误长期以来一直与网络钓鱼诈骗有关。
GhostGPT是另一个面向网络犯罪的AI聊天机器人,已被用于创建精细的网络钓鱼电子邮件,包括假冒的DocuSign请求,以近乎完美的模仿合法品牌通信。
最近,大型语言模型也被用于自动生成虚假的着陆页。
Recorded Future的威胁情报分析师阿兰·利斯卡表示:“GenAI最常用于快速生成成千上万种独特的、母语化的诱饵。通过这种方式,这种尖端技术被用于创建大量看似合法的诈骗邮件,因为语言看起来更加真实,且不那么可疑。”
利斯卡补充道:“它可以使网络钓鱼邮件更难被检测,首席安全官们可能需要考虑通过安全模拟这类攻击来教育员工并建立防御能力。”
他们使用语音和视频进行诱骗
不法分子还利用AI从在线音频和视频片段或图像中克隆声音和形象的能力。
结合可以模仿来电显示的工具,网络犯罪分子可以通过打电话并冒充受害者的家人、朋友或工作同事来寻求紧急帮助,从而欺骗目标。这类电话可以逼真地模仿受信任人士的声音和举止。
身份验证供应商Yubico英国和爱尔兰地区总监尼尔·麦康纳奇表示:“这些技术已经被攻击者广泛使用,再加上网络犯罪分子在使用AI方面变得更加熟练和自在,我们可以预见在不久的将来,AI在助力网络攻击方面将出现更多创新性的用途。”
AI也使网络犯罪分子能够创建越来越复杂的语音和视频换脸技术,从而促进网络钓鱼行为。例如,工程公司Arup的香港子公司被骗走2560万美元,起因是一名财务人员在一场有换脸后的“首席财务官”出席的视频会议后,被骗转发了相关表格。
他们正在复活虚假的“线程”和回复链
网络犯罪分子在劫持受害者的收件箱后复活的“僵尸”电子邮件线程并不是什么新鲜事,但在GenAI的支持下,它们可能会变得越来越逼真。
ThinkCyber Security安全行为与分析主管露西·芬莱表示:“以前,这类电子邮件的语气或上下文与发件人正在模仿的合法邮件相比,会更容易被识别为‘不对劲’。但GenAI能够更容易地浏览之前的链条,并使用正确的语气生成网络钓鱼邮件,使其成为一个更加可信的诱饵。”
他们正在运行ClickFix攻击,欺骗PowerShell新手
ClickFix攻击涉及发送包含指向恶意网站的链接的电子邮件,当受害者访问时,会提示他们打开“运行”对话框,并复制粘贴一行SQL在其机器上执行,这通常是在伪装成修复原始电子邮件所基于的问题的幌子下进行的。
威胁情报供应商Silobreaker的研究主管汉娜·鲍姆加特纳表示:“在过去六个月里,这种所谓的新ClickFix社会工程学技术越来越多地被威胁行为者作为其网络钓鱼活动的一部分。”
该技术涉及各种诱饵,以说服用户将PowerShell脚本粘贴到“运行”命令中,从而导致恶意软件感染。使用这种技术交付的恶意软件包括Lumma Stealer、StealC、NetSupport等。
虽然这项技术本身相对较新,但诱饵本身却相当普遍,包括关于发票、需要签名的文档或虚假验证码的网络钓鱼电子邮件。
他们正在更加逼真地冒充受信任的品牌
品牌冒充仍然是欺骗用户打开恶意文件或在钓鱼网站上输入信息的首选方法。威胁行为者通常会冒充大品牌,包括文档共享平台,如微软的OneDrive和SharePoint,以及日益频繁的DocuSign。
攻击者通过伪造这些品牌来利用员工对这些常用应用程序的固有信任,然后诱骗收件人输入凭证或批准欺诈性的文档请求。
例如,电子邮件安全公司Abnormal Security报告了一起针对依赖联合身份验证系统的组织的网络钓鱼活动,该活动使用伪造的微软Active Directory Federation Services(ADFS)登录页面来收集凭证并绕过多重身份验证。
Abnormal Security威胁情报主管皮奥特·沃蒂拉表示:“在这次活动中,攻击者利用ADFS登录页面的受信任环境和熟悉设计来诱骗用户提交其凭证和第二因素认证详情。这些攻击的成功得益于高度逼真的网络钓鱼技术,包括伪造的发件人地址、合法品牌和URL混淆。”
受害者经常被欺骗去查看、下载或签署虚假文件,如发票,并被提示输入个人信息,这些信息随后会被攻击者窃取。
Richard LaTulip(Recorded Future的现场首席信息安全官)补充道:“这种类型的攻击正在演变,涉及更复杂的域名冒充,包括仿冒域名和同音异义字攻击,这些攻击能够绕过传统的电子邮件过滤器。”
他们正在滥用受信任的服务
网络钓鱼的另一个重要演变是滥用受信任的服务和内容分发平台。
攻击者越来越多地使用合法的文档签名和文件托管服务来分发网络钓鱼诱饵。他们首先将这些恶意内容上传到声誉良好的提供商,然后制作包含对这些受信任服务和内容分发平台引用的网络钓鱼电子邮件或消息。
“由于这些服务托管了攻击者的内容,即使警惕的用户在点击前检查网址,也可能仍会上当受骗,因为这些链接看似来自合法且知名的平台,”Greg Linares(托管检测和响应供应商Huntress的首席威胁情报分析师)警告说。“利用这些受信任的提供商,攻击者可以确保受害者在不知情的情况下下载恶意文件,同时绕过基于允许列表和声誉的安全系统,否则这些系统将会阻止他们的网络钓鱼尝试。”
他们正在利用二维码
越来越多的网络犯罪分子正在利用二维码的普及来执行基于二维码的网络钓鱼攻击。
“钓鱼”(QR码钓鱼)的兴起是对电子邮件安全改进的直接回应。攻击者知道传统的网络钓鱼链接会被过滤器标记,因此他们转向推送恶意二维码,以此绕过电子邮件安全过滤器。
攻击者可以在电子邮件中嵌入恶意二维码,并将其伪装成多因素身份验证(MFA)提示、交付通知或企业登录请求。这些二维码通常会链接到看似合法的门户网站的凭据收集网站。
Abnormal Security的Wojtyla表示:“随着二维码在营销、身份验证和商业交易中越来越普遍,用户更容易信任它们。我们发现,在所有绕过原生垃圾邮件过滤器的攻击中,现在有17%使用了二维码,其中89%是凭据网络钓鱼。”
Richard Bullock(托管服务提供商razorblue的网络安全主管)补充道:“我们还看到二维码被用于‘多阶段网络钓鱼’,其中第一次扫描会将用户引导到看似合法的页面,但在延迟一段时间后,或者在验证用户设备类型后,用户会被重定向到凭据收集网站。由于移动设备通常缺乏与企业台式机相同的安全监督,这种方法证明非常有效。”
网络安全供应商Sophos的全球现场首席信息安全官兼总监Chester Wisniewski预测,钓鱼可能只是一个暂时的趋势,因为安全服务已经意识到这一伎俩,这可能会迫使网络犯罪分子改变战术。
Wisniewski告诉记者:“许多电子邮件服务之前不会检查嵌入在PDF或Office文档中的二维码,但现在,由于它们开始检查,因此利用此方法绕过统一资源标识符(URI)过滤的有效性应该会降低。我们还开始看到滥用可缩放矢量图形(SVG)文件的情况,这是另一种经常被忽视的格式,因此如果网络钓鱼方式有所转变,SVG可能会成为新的二维码。”
攻击者还被发现使用在电子邮件钓鱼中巧妙制作的ASCII二维码。
他们正在利用图像绕过安全过滤器
基于图像的网络钓鱼正在变得越来越复杂。例如,诈骗者正在制作看起来像是基于文本的电子邮件的图像,以提高其表面真实性,同时仍然绕过传统的电子邮件过滤器。
Recorded Future的LaTulip评论道:“这种类型的攻击是传统基于文本的网络钓鱼的演变,是犯罪分子对电子邮件安全过滤器进步的回应。嵌入式图像用于绕过电子邮件过滤器,图像用于伪装恶意内容或链接。”
点击这些图像后,毫无戒心的员工将被引导到凭据收集网站或被植入恶意软件的网站。
LaTulip说:“犯罪分子还可能通过更改颜色或大小来持续编辑和修改图像。这通常是为了使图像保持新鲜,从而增加其避免被检测到的机会。”
他们正在使用俄罗斯前沿阵地
KnowBe4报告称,从2024年12月到2025年1月,利用俄罗斯(.ru)顶级域名的网络钓鱼活动激增。
KnowBe4威胁研究团队注意到,这些主要针对凭据收集的网络钓鱼活动增加了98%。
一些俄罗斯.ru域名由所谓的“防弹”托管提供商运营,这些提供商以维持恶意域名运行并忽略针对其网络犯罪分子客户网站的滥用报告而闻名。
他们正在加强情报收集
在暗网和黑客论坛上,AI辅助的工具集变得越来越普遍。
“这些工具可以抓取社交媒体帖子,甚至可以通过图片和帖子确定用户的精确地理位置,这是一种越来越普遍的战术,”Huntress的Linares说。
其他情报收集工具则专注于组织而非个人。这些工具可以抓取LinkedIn、招聘网站、DNS记录、网络托管服务和第三方服务提供商的信息,以发现有关公司基础设施、软件堆栈、内部工具、员工、办公地点以及其他可能的社会工程或网络攻击目标的宝贵见解。
老练的攻击者还在重新利用合法的营销工具和平台,以确定搜索引擎优化劫持和网络钓鱼攻击的最佳机会,从而最大限度地提高诈骗的覆盖面和有效性。
他们正在通过PhaaS实现专业化
根据网络安全供应商Barracuda的数据,到2025年,网络钓鱼即服务(PhaaS)工具包预计将占凭据盗窃攻击的一半(50%),而2024年这一比例为30%。
Barracuda预测,这些平台正在发展包括允许网络犯罪分子窃取多因素身份验证(MFA)代码和使用更高级的逃避技术(如使用基于QR码的载荷)等功能。
PhaaS平台提供基于订阅的工具和服务套件,包括仪表板和被盗凭据存储,这些工具和服务可促进网络钓鱼攻击。这些助长网络犯罪的工具包通过Telegram、暗网论坛和地下市场出售。据网络威胁管理公司Adarma称,订阅费用为每月350美元起。
使用最广泛的此类平台——Tycoon 2FA——被Barracuda归咎为观察到的89%的PhaaS事件。该平台利用加密脚本和不可见的Unicode字符来逃避检测、窃取凭据,并通过Telegram窃取数据。
Barracuda在最近的一篇技术博客文章中介绍道,Sneaky 2FA旨在实施中间人攻击,滥用Microsoft 365的“自动抓取”功能来预先填充虚假登录页面,过滤掉非目标对象并绕过2FA。
