社会的快速数字化深刻改变了人际关系和商业关系,这并不是什么秘密。 研究显示,2024年,线上诈骗造成的财务损失达到了101亿雷亚尔,比前一年增加了17%。
然而,这一转变也扩大了网络犯罪分子的攻击面,他们越来越依赖社会工程学来实施复杂的欺诈方案。
其中最常见的是钓鱼、短信钓鱼和语音钓鱼——这些做法虽然在使用的方法上有所不同,但都具有相同的目标:欺骗受害者以窃取敏感信息,尤其是访问凭据。 虽然传统上与针对消费者的欺诈有关,但这些社会工程手段在企业环境中也同样非常有效。 骗子针对企业以获取内部系统的访问权限,破坏供应链并进行大规模的金融欺诈。
钓鱼、短信钓鱼和语音钓鱼是同样的威胁吗?
要开始解释,重要的是要理解“社会工程学”一词指的是一组由骗子使用的技术,旨在情感和社会上操纵受害者,使他们采取违背自身利益的行动,危及他们的安全。
钓鱼是这种类型的欺诈中最为人所知的一种。 电子邮件钓鱼套件可以在暗网中找到。 对于那些不是专业人士的骗子,有人会为他们执行这项服务。 通常涉及发送伪装成可信机构(如银行、零售商或在线服务)的电子邮件或消息。
目标是欺骗收件人点击恶意链接,这些链接会引导到与原网站非常相似的假网站,旨在窃取密码和其他敏感信息,如身份证号码或信用卡资料。 根据Serpro的数据,钓鱼仍然是巴西最常见的欺诈类型之一,犯罪分子不断利用人工智能(AI)和深度伪造技术来制作更具说服力和个性化的内容。 最近的一个案例是一名男子因参与一个犯罪团伙而被捕,该团伙利用深度伪造视频进行诈骗,视频中使用了主持人马科斯·米翁的图像和声音。
骗子还会进行商务电子邮件诈骗(BEC)和假CEO骗局,通过冒充高管的电子邮件诱导员工转账或提供凭据。
另一方面,钓鱼短信(结合短信和网络钓鱼)利用短信欺骗受害者。 随着WhatsApp和Telegram等即时通讯应用的普及,这种方法变得越来越流行,利用人们倾向于快速回复看似紧急或重要信息的趋势。
而语音钓鱼(vishing)则通过电话进行,骗子假扮成公司或机构的代表。 一种具有说服力的语调,结合先前在泄露中获得的数据,使受害者更倾向于通过电话分享机密信息。 这种类型的骗局已经越来越多地影响到巴西的企业,尤其是大型企业。
旧账户是犯罪分子最有价值的资产
这些欺诈行为的增长与基于账户的生态系统所代表的价值直接相关。 一个旧的可靠账户对犯罪分子来说比直接盗取资金更有价值。 这是因为具有合法活动记录的账户被传统的反欺诈系统自动检测到的可能性较低。
骗子们结合使用钓鱼及其变种来获取这些账户的访问权限,这些账户可能已有多年的关系和交易,证明了他们的信誉。 一旦进入,犯罪分子可以研究购买记录、行为模式,甚至在某些情况下与客户服务互动,假装是账户的合法持有人。
根据Nethone的报告,一些欺诈者甚至会与客服人员建立关系,欺骗他们对账户进行更改,从而方便实施欺诈行为——这个过程被称为账户接管(account takeover)。 这种类型的攻击不仅会造成直接的经济损失,还会破坏对数字平台和服务的信任。
人工智能和自动化对欺诈的影响
从历史上看,社会工程学的活动需要规划、时间和一定程度的人工定制。 然而,大规模采用生成式语言模型(LLMs)彻底改变了这种局面。
如今,借助基于生成式人工智能的自动化工具,犯罪分子能够在几分钟内创建并发起钓鱼攻击。 写得很好的文本,以前需要流利或花费时间来撰写,现在可以自动生成,具有高度的复杂性。 因此,这些攻击的数量和频率呈令人担忧的增加。
这种增长不仅反映了欺诈性活动的覆盖范围扩大,还反映了基于人工智能和自动化的新技术的效率。
认为钓鱼、短信钓鱼和语音钓鱼只是个人消费者的风险,这是错误的。 公司也经常成为这些欺诈的受害者,尤其是在企业凭证在暗网曝光时。 根据Nethone的分析,骗子可能会获取员工泄露的数据,从而获得对内部系统和敏感数据库的特权访问权限。
从那时起,他们开始进行微妙的行动:研究公司的购买或运营行为,与技术支持或销售团队进行互动,并逐步操控内部流程,以进行欺诈交易而不引起立即怀疑。 这种做法不仅危及组织的安全,还影响与客户和合作伙伴的信任关系。
如何保护自己免受这些威胁?
防范钓鱼、短信钓鱼和语音钓鱼的措施包括技术、流程和意识的结合。
教育与意识提升:第一道防线永远是个人。 企业和用户都需要被教育以识别这些欺诈的常见迹象,例如拼写错误、信息中的过度紧迫感、敏感信息的请求以及不寻常的沟通渠道。
多因素认证(MFA):即使凭据被泄露,使用多层身份验证也会增加未经授权访问的难度。
凭证监控:监控暗网中凭证曝光的工具对于企业和个人能够及时获得泄露警报至关重要。
基于人工智能的欺诈检测系统:就像犯罪分子一样,企业也需要借助人工智能来检测异常行为模式,以识别可能的入侵或欺诈企图。
在信任是一种宝贵货币的时代,保护凭证和保持警惕的态度对于维护个人和企业的数字完整性至关重要。
