本文编译自CyberSecurity Magazine杂志2024年初发表的原题为“Phishing in 2024: Here’s What to Expect”的文章。


网络钓鱼(Phishing)是网络犯罪分子仿冒合法身份获得敏感信息的一种欺骗行为。30多年来钓鱼攻击招数与时俱进,从简单的通过电子邮件骗取账号密码,发展到与人工智能(AI)、深度伪造(DeepFake)相结合,通过社交媒体、移动设备、物联网设备等渠道发起更为复杂的钓鱼攻击,成为数字世界的最大威胁之一。


知己知彼,百战不殆!了解网络钓鱼攻击最新发展趋势至关重要,企业和个人保持领先于威胁一步,才能更好地维护网络安全,保护企业和个人免受网络钓鱼攻击。


1. 人工智能+网络钓鱼


人工智能技术正在彻底改变网络钓鱼攻防的格局,网络犯罪分子利用大语言模型(LLM)能够分析来自开源情报(OSINT)的海量数据(包括社交媒体和互联网公开的信息),从而深入了解攻击对象的个人画像,沟通风格和兴趣偏好,生成高度个性化、更有说服力且逼真的钓鱼邮件,通常会绕过传统的安全措施,使得受害者更加难以识别。另外,各种邪恶版ChatGPT大大降低了网络犯罪分子的实施门槛,能够协助网络犯罪分子批量生成钓鱼邮件,开展大规模的网络钓鱼活动,加速了威胁环境的复杂性。


2.深度伪造+网络钓鱼


网络钓鱼攻击者越来越多地在复杂的网络钓鱼骗局中利用深度伪造技术,他们制造令人信服的假音频和视频来冒充受信任的身份。DeepFakes技术的平民化(一般变脸变声APP大多用于娱乐)使得区分真假音视频变得更具挑战性,提高了犯罪分子实施语音钓鱼或视频钓鱼骗局的成功率。受害者一旦上钩,往往会造成重大的经济损失、声誉损害,以会造成公众对于数字通信的信任侵蚀。DeepFakes加持的钓鱼欺诈威胁越来越普遍,66%的受访者表示曾遭遇过深度伪造攻击。


3.勒索软件+网络钓鱼


事实上,钓鱼邮件越来越成为勒索软件入侵和传播的主要载体,利用人性弱点通过欺骗性电子邮件诱骗个人下载恶意内容或点击恶意链接,勒索病毒将自动加载、安装和运行,然后加密并窃取敏感数据,比利用系统漏洞更容易投放和成功。钓鱼攻击之所以防不胜防,就是在于每个人在特定情况下都有可能发生“人为错误”。另外,大脑中固有的“认识偏差”也会影响人们的安全决策。例如,实际上,每个人或多或少都会有一点乐观偏见,对自己有利的盲目乐观和自信,认为可以100%识别钓鱼邮件。对自己不利的,则认为不可能发生在自己身上。或怀有“鸵鸟心态”,以为自己眼睛看不见就是安全的。


4.政府背景+网络钓鱼


国家支持的网络钓鱼间谍活动和网络战的兴起,标志着全球网络威胁的显著升级,政府或其代理人发起精心策划的鱼叉式钓鱼攻击,以获取敏感数据或破坏基础设施。其目标范围广泛,可能针对国防部门、政府或非政府组织、军事目标、高端智库、高校/学术界/科研人员等.


国际社会正在加紧努力,包括加强跨境情报共享、制定全球网络安全规范和加强国防。然而,网络空间的匿名性和无国界性继续对有效打击这些政府背景支持的网络攻击活动和维护全球网络安全构成重大挑战。


5.瞄准社交媒体


社交媒体(微信、微博等)是网络钓鱼的温床,通过社交媒体平台的网络钓鱼攻击的增加是由于庞大的、数以亿计的用户基础和用户对于社交平台的信任。网络犯罪分子利用这种天然的信任关系,使用诸如创建虚假个人资料、直接发送带有恶意链接的信息、图片、文档或压缩包,或发布看似合法的欺骗性广告、小测验、虚假红包等策略。


这些方法特别有效,因为是社交媒体好友发过来的信息,又无缝地融合到聊天对话交流中,使用户很难识别它们的恶意意图。考虑到95%的网络安全漏洞始于某人无意中点击了恶意链接或下载了恶意附件,这种微妙之处令人担忧,突显了基于社交媒体的网络钓鱼攻击的重大威胁,以及提高用户警惕性的必要性。


6.瞄准云服务


随着云服务的普及,网络钓鱼攻击技术也趋于云化网络钓鱼攻击越来越多地针对云存储和云服务,利用它们在个人和企业数据管理中的核心作用。网络犯罪分子伪造欺骗性电子邮件和信息,冒充知名云服务提供商的身份发起钓鱼攻击,诱使用户在欺诈网站上输入登录凭据,从而使攻击者能够顺利访问云中的敏感数据。或通过云存储服务托管恶意文件,并通过链接分享功能进行传播。由于云服务的高信誉度,传统的安全技术防御很难精准拦截。


7.瞄准移动设备


针对移动用户的网络钓鱼攻击的增长趋势反映了智能手机和平板电脑在各种活动中的使用越来越多。这类攻击最初集中在基于短信的钓鱼方案上,现在已经发展到利用即时通讯应用程序、社交媒体和假移动应用程序。


这尤其令人担忧,因为据预测,截止2023年,全球只有约13%的人能够有效保护好他们的数据。移动设备的便利性和在日常生活中不可或缺的作用,再加上移动办公/BYOD办公的流行,个人设备普遍缺乏强大的安全防护措施,且以往学到的PC端安全知识在移动端并不完全适用,这些因素叠加在一起,使得用户极易受到针对移动设备的网络钓鱼攻击影响


8.瞄准物联网


物联网设备通常先天性缺乏安全功能属性(例如默认密码、无防火墙),这是一个重大漏洞,网络钓鱼攻击者可以利用这些漏洞未经授权访问个人和家庭网络。这些IoT设备包括:路由器、打印机、摄像头、可穿戴设备、和家用物联网用品等可能成为网络犯罪分子的入口。


一旦侵入,攻击者就可以利用这些设备监控个人活动、收集敏感数据或作为渗透更广泛家庭网络的网关,对个人隐私和安全构成严重威胁。物联网设备的互联特性放大了风险,因为破坏一个IoT设备可能会导致多米诺骨牌效应,危及整个家庭网络的安全。而个人IoT设备连接到公司办公网络,还可能连累公司的整体网络安全。


9.瞄准中小企业


网络钓鱼者越来越多地瞄准小型企业,因为它们的网络安全预算投入通常十分有限,安全防护脆弱。例如:大部分员工对于网络威胁的认识不足,缺乏安全意识常识,对关键信息系统和敏感信息防护不足,网络安全相关制度缺失、安全专业人员、安全培训缺失、管理层支持缺失等等,因此中小企业面对各种网络威胁的抵抗力更弱,包括网络钓鱼,另据报告显示,8成勒索攻击针对的是中小企业。另一个原因是,很多中小企业存在一种虚假的安全感-“公司规模小,黑客不会费心思攻击小公司的”。实际上,中小企业遭遇钓鱼攻击的频次和损失也不小。一旦中小企业遭遇钓鱼,导致核心数据外泄,或诱骗财务转账,或感染勒索病毒重要数据无法恢复,这种损失往往是灭顶之灾,很多中小企业因为遭遇网络攻击而一蹶不振,关门大吉。

多管齐下,加强数字安全防御


随着复杂的网络钓鱼攻击和国家背景支持的网络攻击活动的迅猛发展,企业和个人都需要不断更新网络安全防护策略,适应新兴的安全威胁,从技术防御、流程完善和人员培训方面多管齐下,打造更具弹性的网络安全文化