本文編譯自CyberSecurity Magazine雜志2024年初發表的原題為“Phishing in 2024: Here’s What to Expect”的文章。


網絡釣魚(Phishing)是網絡犯罪分子仿冒合法身份獲得敏感信息的一種欺騙行為。30多年來釣魚攻擊招數與時俱進,從簡單的通過電子郵件騙取賬號密碼,發展到與人工智能(AI)、深度偽造(DeepFake)相結合,通過社交媒體、移動設備、物聯網設備等渠道發起更為復雜的釣魚攻擊,成為數字世界的最大威脅之一。


知己知彼,百戰不殆!了解網絡釣魚攻擊最新發展趨勢至關重要,企業和個人保持領先于威脅一步,才能更好地維護網絡安全,保護企業和個人免受網絡釣魚攻擊。


1. 人工智能+網絡釣魚


人工智能技術正在徹底改變網絡釣魚攻防的格局,網絡犯罪分子利用大語言模型(LLM)能夠分析來自開源情報(OSINT)的海量數據(包括社交媒體和互聯網公開的信息),從而深入了解攻擊對象的個人畫像,溝通風格和興趣偏好,生成高度個性化、更有說服力且逼真的釣魚郵件,通常會繞過傳統的安全措施,使得受害者更加難以識別。另外,各種邪惡版ChatGPT大大降低了網絡犯罪分子的實施門檻,能夠協助網絡犯罪分子批量生成釣魚郵件,開展大規模的網絡釣魚活動,加速了威脅環境的復雜性。


2.深度偽造+網絡釣魚


網絡釣魚攻擊者越來越多地在復雜的網絡釣魚騙局中利用深度偽造技術,他們制造令人信服的假音頻和視頻來冒充受信任的身份。DeepFakes技術的平民化(一般變臉變聲APP大多用于娛樂)使得區分真假音視頻變得更具挑戰性,提高了犯罪分子實施語音釣魚或視頻釣魚騙局的成功率。受害者一旦上鉤,往往會造成重大的經濟損失、聲譽損害,以會造成公眾對于數字通信的信任侵蝕。DeepFakes加持的釣魚欺詐威脅越來越普遍,66%的受訪者表示曾遭遇過深度偽造攻擊。


3.勒索軟件+網絡釣魚


事實上,釣魚郵件越來越成為勒索軟件入侵和傳播的主要載體,利用人性弱點通過欺騙性電子郵件誘騙個人下載惡意內容或點擊惡意鏈接,勒索病毒將自動加載、安裝和運行,然后加密并竊取敏感數據,比利用系統漏洞更容易投放和成功。釣魚攻擊之所以防不勝防,就是在于每個人在特定情況下都有可能發生“人為錯誤”。另外,大腦中固有的“認識偏差”也會影響人們的安全決策。例如,實際上,每個人或多或少都會有一點樂觀偏見,對自己有利的盲目樂觀和自信,認為可以100%識別釣魚郵件。對自己不利的,則認為不可能發生在自己身上。或懷有“鴕鳥心態”,以為自己眼睛看不見就是安全的。


4.政府背景+網絡釣魚


國家支持的網絡釣魚間諜活動和網絡戰的興起,標志著全球網絡威脅的顯著升級,政府或其代理人發起精心策劃的魚叉式釣魚攻擊,以獲取敏感數據或破壞基礎設施。其目標范圍廣泛,可能針對國防部門、政府或非政府組織、軍事目標、高端智庫、高校/學術界/科研人員等.


國際社會正在加緊努力,包括加強跨境情報共享、制定全球網絡安全規范和加強國防。然而,網絡空間的匿名性和無國界性繼續對有效打擊這些政府背景支持的網絡攻擊活動和維護全球網絡安全構成重大挑戰。


5.瞄準社交媒體


社交媒體(微信、微博等)是網絡釣魚的溫床,通過社交媒體平臺的網絡釣魚攻擊的增加是由于龐大的、數以億計的用戶基礎和用戶對于社交平臺的信任。網絡犯罪分子利用這種天然的信任關系,使用諸如創建虛假個人資料、直接發送帶有惡意鏈接的信息、圖片、文檔或壓縮包,或發布看似合法的欺騙性廣告、小測驗、虛假紅包等策略。


這些方法特別有效,因為是社交媒體好友發過來的信息,又無縫地融合到聊天對話交流中,使用戶很難識別它們的惡意意圖。考慮到95%的網絡安全漏洞始于某人無意中點擊了惡意鏈接或下載了惡意附件,這種微妙之處令人擔憂,突顯了基于社交媒體的網絡釣魚攻擊的重大威脅,以及提高用戶警惕性的必要性。


6.瞄準云服務


隨著云服務的普及,網絡釣魚攻擊技術也趨于云化網絡釣魚攻擊越來越多地針對云存儲和云服務,利用它們在個人和企業數據管理中的核心作用。網絡犯罪分子偽造欺騙性電子郵件和信息,冒充知名云服務提供商的身份發起釣魚攻擊,誘使用戶在欺詐網站上輸入登錄憑據,從而使攻擊者能夠順利訪問云中的敏感數據。或通過云存儲服務托管惡意文件,并通過鏈接分享功能進行傳播。由于云服務的高信譽度,傳統的安全技術防御很難精準攔截。


7.瞄準移動設備


針對移動用戶的網絡釣魚攻擊的增長趨勢反映了智能手機和平板電腦在各種活動中的使用越來越多。這類攻擊最初集中在基于短信的釣魚方案上,現在已經發展到利用即時通訊應用程序、社交媒體和假移動應用程序。


這尤其令人擔憂,因為據預測,截止2023年,全球只有約13%的人能夠有效保護好他們的數據。移動設備的便利性和在日常生活中不可或缺的作用,再加上移動辦公/BYOD辦公的流行,個人設備普遍缺乏強大的安全防護措施,且以往學到的PC端安全知識在移動端并不完全適用,這些因素疊加在一起,使得用戶極易受到針對移動設備的網絡釣魚攻擊影響


8.瞄準物聯網


物聯網設備通常先天性缺乏安全功能屬性(例如默認密碼、無防火墻),這是一個重大漏洞,網絡釣魚攻擊者可以利用這些漏洞未經授權訪問個人和家庭網絡。這些IoT設備包括:路由器、打印機、攝像頭、可穿戴設備、和家用物聯網用品等可能成為網絡犯罪分子的入口。


一旦侵入,攻擊者就可以利用這些設備監控個人活動、收集敏感數據或作為滲透更廣泛家庭網絡的網關,對個人隱私和安全構成嚴重威脅。物聯網設備的互聯特性放大了風險,因為破壞一個IoT設備可能會導致多米諾骨牌效應,危及整個家庭網絡的安全。而個人IoT設備連接到公司辦公網絡,還可能連累公司的整體網絡安全。


9.瞄準中小企業


網絡釣魚者越來越多地瞄準小型企業,因為它們的網絡安全預算投入通常十分有限,安全防護脆弱。例如:大部分員工對于網絡威脅的認識不足,缺乏安全意識常識,對關鍵信息系統和敏感信息防護不足,網絡安全相關制度缺失、安全專業人員、安全培訓缺失、管理層支持缺失等等,因此中小企業面對各種網絡威脅的抵抗力更弱,包括網絡釣魚,另據報告顯示,8成勒索攻擊針對的是中小企業。另一個原因是,很多中小企業存在一種虛假的安全感-“公司規模小,黑客不會費心思攻擊小公司的”。實際上,中小企業遭遇釣魚攻擊的頻次和損失也不小。一旦中小企業遭遇釣魚,導致核心數據外泄,或誘騙財務轉賬,或感染勒索病毒重要數據無法恢復,這種損失往往是滅頂之災,很多中小企業因為遭遇網絡攻擊而一蹶不振,關門大吉。

多管齊下,加強數字安全防御


隨著復雜的網絡釣魚攻擊和國家背景支持的網絡攻擊活動的迅猛發展,企業和個人都需要不斷更新網絡安全防護策略,適應新興的安全威脅,從技術防御、流程完善和人員培訓方面多管齊下,打造更具彈性的網絡安全文化

網絡釣魚
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接