社會的快速數位化深刻地改變了個人和商業關係,這已不是什麼秘密。研究表明,2024年,網路詐騙造成的經濟損失達到101億雷亞爾,比前一年增加了17.1萬雷亞爾。
然而,這種轉變也擴大了網路犯罪分子的攻擊面,他們越來越依賴社會工程學來實施複雜的詐欺計畫。
其中最常見的包括網路釣魚、簡訊釣魚和語音釣魚——這些行為雖然方法各異,但目標卻相同:誘騙受害者竊取敏感訊息,尤其是登入憑證。雖然這些社會工程形式傳統上與消費者詐騙有關,但在企業環境中也非常有效。詐騙者以公司為目標,取得內部系統存取權、破壞供應鏈並實施大規模金融詐欺。
網路釣魚、簡訊網路釣魚和語音網路釣魚是同一種威脅嗎?
首先解釋一下,重要的是要理解「社會工程學」一詞是指騙子用來在情感和社會上操縱受害者的一系列技術,導致他們做出違背自身利益的行為並危害他們的安全。
網路釣魚是此類騙局最常見的形式。電子郵件釣魚工具包可以在暗網上找到。對於那些並非該領域專家的人來說,有人會替他們提供此類服務。他們通常會發送電子郵件或訊息,假裝來自受信任的機構,例如銀行、零售商或線上服務。
其目的是誘騙收件人點擊惡意鏈接,這些鏈接會將用戶引導至與真實網站極其相似的虛假網站,試圖竊取密碼和其他敏感信息,例如社保號碼或信用卡信息。根據 Serpro 的數據,網路釣魚仍然是巴西最常見的詐騙類型之一,犯罪分子一直在改進其策略,利用人工智慧 (AI) 和深度偽造技術 (DeepFake) 來製作更具說服力和個性化的內容。最近一起案件中,一名男子因參與一個犯罪團夥而被捕,該團夥使用經過深度偽造的視頻,以電視節目主持人馬科斯·米翁 (Marcos Mion) 的形象和聲音進行詐騙。
詐騙者也會實施商業電子郵件外洩 (BEC) 和假冒 CEO 詐騙等詐欺行為,利用冒充高階主管的電子郵件誘騙員工轉帳或提供憑證。
另一方面,簡訊釣魚(SMS 和網路釣魚的結合)利用簡訊來欺騙受害者。隨著 WhatsApp 和 Telegram 等即時通訊應用程式的普及,這種方法也越來越流行,利用了人們對緊急或重要資訊快速回應的傾向。
語音釣魚(Vishing)是透過電話進行的,詐騙者會冒充某個公司或機構的代表。他們語氣強硬,並利用之前獲取的資料外洩信息,使受害者更有可能在電話中洩露機密資訊。這類詐騙對巴西公司,尤其是大型企業的影響日益嚴重。
舊帳戶是犯罪者最寶貴的資產
這些詐欺行為的成長與基於帳戶的生態系統所代表的價值直接相關。對於犯罪者來說,一個長期存在的、值得信賴的帳戶比直接竊取資金更有價值。這是因為具有合法活動歷史的帳戶不太可能被傳統的詐欺偵測系統自動偵測到。
詐騙者利用網路釣魚及其變種來獲取這些帳戶的存取權限,這些帳戶可能擁有多年的客戶關係和交易記錄,足以證明其信譽。一旦進入帳戶,犯罪者就可以研究購買歷史、行為模式,在某些情況下,甚至可以冒充合法帳戶持有人與客服互動。
正如 Nethone 的一份報告所強調的那樣,一些詐騙者甚至會與客服人員建立關係,誘騙他們更改帳戶訊息,從而為詐騙提供便利——這一過程被稱為帳戶接管。這種攻擊不僅會造成直接的經濟損失,還會破壞人們對數位平台和服務的信任。
人工智慧和自動化對詐欺的影響
過去,社會工程活動需要規劃、時間以及一定程度的手動客製化。然而,生成語言模型 (LLM) 的廣泛應用徹底改變了這種情況。
如今,借助基於生成式人工智慧的自動化工具,犯罪分子可以在幾分鐘內創建並發起網路釣魚活動。過去需要流暢度或時間才能編寫的精心編寫的文本,如今已能夠高度複雜地自動生成。因此,此類攻擊的數量和頻率都急劇增加。
這種成長不僅反映了詐欺活動範圍的擴大,也反映了基於人工智慧和自動化的新技術的有效性。
任何認為網路釣魚、簡訊釣魚和語音釣魚只針對個人消費者的人都是錯的。公司也經常成為這些騙局的受害者,尤其是當公司憑證在暗網上曝光時。根據 Nethone 的分析,詐騙者可以獲得洩漏的員工數據,並獲得內部系統和敏感資料庫的特權存取權限。
由此,他們會採取一些微妙的行動:研究公司的採購或營運行為,與技術或銷售支援人員建立聯繫,並逐步操縱內部流程,在不引起立即懷疑的情況下進行詐欺交易。這種做法不僅危及組織的安全,還會破壞與客戶和合作夥伴的信任關係。
如何保護自己免受這些威脅?
防範網路釣魚、簡訊網路釣魚和語音網路釣魚需要技術、流程和意識的結合。
教育和意識: 第一道防線始終是人。公司和用戶都需要接受培訓,以識別此類詐騙的常見跡象,例如拼寫錯誤、資訊過於緊急、要求敏感資訊以及不尋常的溝通管道。
多重身份驗證 (MFA): 即使憑證被洩露,使用多層身份驗證也會使未經授權的存取變得困難。
憑證監控: 監控暗網上憑證暴露的工具對於公司和個人快速發現違規行為至關重要。
基於人工智慧的詐欺偵測系統: 就像犯罪分子一樣,公司需要藉助人工智慧來偵測可能存在駭客攻擊或詐欺企圖的異常行為模式。
在信任是寶貴貨幣的時代,保護憑證和保持警惕對於維護個人和企業的數位完整性至關重要。
