社会的快速数字化深刻改变了个人与商业关系已不是秘密。研究显示,2024年网络诈骗造成的经济损失高达1010亿雷亚尔,较上年增长17%。.
然而,这种转型也扩大了网络犯罪分子的攻击面,他们日益依赖社会工程学来实施复杂的欺诈计划。.
其中最常见的包括网络钓鱼、短信钓鱼和语音钓鱼——这些手段虽然采用不同方法,但目标一致:通过欺骗受害者窃取敏感信息,特别是登录凭证。尽管传统上这些社会工程学形式多与针对消费者的诈骗相关,但在企业环境中同样极为有效。诈骗者瞄准企业以获取内部系统访问权限、破坏供应链并实施大规模金融欺诈。.
网络钓鱼、短信钓鱼和语音钓鱼是相同的威胁吗?
在开始解释时,需要理解社会工程学这一术语指代诈骗者用来从情感和社交层面操纵受害者,使其做出违背自身利益并危及安全的行为的一系列技术。.
网络钓鱼是此类诈骗中最广为人知的类型。网络钓鱼工具包可在暗网获取,对于非专业诈骗者而言,甚至有代实施服务的团伙。其通常涉及冒充银行、零售商或在线服务等可信机构发送电子邮件或消息。.
目的是诱使收件人点击恶意链接跳转至与原始网站高度相似的虚假网站,从而窃取密码及其他敏感信息(如证件号码或信用卡数据)。根据Serpro数据,网络钓鱼仍是巴西最高发的欺诈类型之一,犯罪分子正通过使用人工智能和深度伪造技术来创建更具说服力和个性化的内容,不断优化策略。近期案例包括一名男子因参与使用深度伪造技术冒充主持人Marcos Mion形象和语音的犯罪团伙而被捕。.
诈骗者还实施商业邮件欺诈和假CEO骗局等欺诈行为,通过冒充高管邮件诱导员工转账或提供登录凭证。.
另一方面,短信钓鱼(SMS与网络钓鱼的结合)利用文本消息欺骗受害者。随着WhatsApp和Telegram等即时通讯应用的普及,该方法凭借利用人们倾向于快速回复看似紧急或重要消息的特点而日益猖獗。.
而语音钓鱼则通过电话实施,诈骗者冒充企业或机构代表。具有说服力的语气,结合使用此前数据泄露中获取的信息,使受害者更易通过电话泄露机密信息。此类诈骗正日益波及巴西企业,特别是大型集团。.
老旧账户是犯罪分子最有价值的资产
这些欺诈行为的增长与基于账户的生态系统所蕴含的价值直接相关。对犯罪分子而言,一个历史悠久且可信的账户比直接窃取资金更具价值。这是因为具有合法活动记录的账户被传统反欺诈系统自动检测到的概率更低。.
诈骗者结合使用网络钓鱼及其变体来获取这些可能拥有多年关系和交易记录以验证其声誉的账户访问权。一旦侵入,犯罪分子可研究购买历史、行为模式,甚至在某些情况下冒充合法账户持有者与客服互动。.
正如Nethone报告所指,部分欺诈者甚至会与客服人员建立关系,通过欺骗手段让其对账户进行便于实施诈骗的修改——此过程称为账户接管。此类攻击不仅造成直接经济损失,还会破坏对数字平台和服务的信任。.
人工智能与自动化对欺诈的影响
从历史上看,社会工程学活动需要规划、时间及一定程度的个性化定制。然而,生成式语言模型的广泛采用彻底改变了这一局面。.
如今借助基于生成式AI的自动化工具,犯罪分子可在数分钟内创建并发起网络钓鱼活动。以往需要语言流畅性或时间精心撰写的文本,现在可自动生成且精细度极高。因此,这类攻击的数量和频率已出现惊人增长。.
这种增长不仅反映了欺诈活动覆盖范围的扩大,也体现了基于AI和自动化新技术的效率。.
若认为网络钓鱼、短信钓鱼和语音钓鱼仅是个人消费者面临的风险,则实属误解。企业也常成为这些欺诈的受害者,特别是在企业凭证于暗网曝光时。根据Nethone分析,诈骗者可获取泄露的员工数据,从而获得内部系统和敏感数据库的特权访问权限。.
此后他们会采取隐蔽行动:研究企业的采购或运营行为,与技术支持或商务部门建立互动,并逐步操纵内部流程以实施欺诈交易而不立即引发怀疑。这种做法不仅危及组织安全,更破坏与客户及合作伙伴的信任关系。.
如何防范这些威胁?
防御网络钓鱼、短信钓鱼和语音钓鱼需要技术、流程与意识教育的结合。.
教育与意识培养: 第一道防线始终是人。企业与用户均需通过教育识别这些欺诈的常见迹象,如拼写错误、消息中过度强调紧急性、索要敏感信息及非常规沟通渠道。.
多因素认证: 即使凭证被盗,多重认证层的使用能有效阻止未授权访问。.
凭证监控: 监控暗网凭证暴露的工具对企业及个人及时获取泄露警报至关重要。.
基于AI的反欺诈检测系统: 与犯罪分子类似,企业也需借助人工智能检测表明潜在入侵或欺诈尝试的异常行为模式。.
在信任成为珍贵货币的时代,保护凭证并保持警惕姿态对维护个人与企业的数字完整性至关重要。.
