小心！AI升級釣魚詐騙，教你捉賊保平安

4種新興的網絡釣魚詐騙正在上升。這裡告訴你如何抓住他們的把柄

網絡釣魚攻擊越來越難以識別，尤其是當人工智能介入時。

隨著垃圾郵件過濾器的持續改進和防禦措施的日益複雜，網絡釣魚仍然是網絡安全面臨的最大威脅之一，並且變得愈加難以識別。罪犯利用大型語言模型（LLM），如ChatGPT，來撰寫其電子郵件，這使得文本幾乎無錯誤，語法正確且句子結構通順。

隨著駭客技術的進步，我們需要學習新方法來識別這些攻擊，並保持在遊戲的前面。以下是幾種你可以用來捕捉他們的方式，希望能幫助你避免成為他們詐騙的受害者。

人工智能帳戶的網絡釣魚

Barracuda Networks指出，新的網絡釣魚電子郵件試圖盜取付費的ChatGPT帳戶訪問權限。這些帳戶目前需求旺盛。

如ChatGPT或Google Gemini等人工智能服務對企業變得愈加重要，因為它們能夠幫助企業降低日常通訊或發票的成本。Open AI，ChatGPT的製造商，以及Google因此在達到一定查詢次數後會收取使用費。

Barracuda Networks報告指出，針對付費ChatGPT帳戶的廣泛網絡釣魚活動已經展開。

罪犯發送聲稱來自Open AI的電子郵件，解釋他們無法扣除月費。收件人必須在七天內更新其帳戶信息，否則將失去對ChatGPT的訪問。

電子郵件中的按鈕引導用戶填寫帳戶信息的在線表單。這些數據可以輕易地在互聯網的黑暗通道上出售。

流媒體帳戶

詐騙者經常試圖盜取流媒體服務（如Netflix或Disney）的登錄信息。近幾個月來，針對Netflix帳戶的網絡釣魚電子郵件不斷增多。這類帳戶特別容易變現，因此受到罪犯的青睞。

用戶會收到一封聲稱來自流媒體服務的電子郵件，要求他們更新付款信息。否則，他們的帳戶將在幾天內被封鎖。電子郵件中會出現一個按鈕或鏈接，表面上是通往他們帳戶的入口。在附屬網站上，則有一個表單等待他們輸入登錄信息。

這封電子郵件通常來自詐騙者，大多數情況下可以通過查看發件人地址來識別。只有少數釣魚發件人才會費心偽造電子郵件地址（技術術語稱為“欺騙”）。

你可以輕易地將鼠標指向電子郵件中的按鈕或鏈接，查看它實際鏈接到哪裡。

這類釣魚電子郵件的一個典型特徵是緊迫性。受害者通常只有兩到三天的時間來解決問題。或者，罪犯聲稱帳戶已被封鎖，電子郵件收件人必須迅速行動以重新激活帳戶。這樣，罪犯會施加時間壓力，讓受害者無法仔細思考。

SMS釣魚成為流行病

當釣魚嘗試通過短信發送時，稱為SMS釣魚。新的SMS釣魚浪潮使用了“孫子詐騙”。在這種情況下，短信內容為：“嗨，爸爸，這是我的新號碼。你能在WhatsApp上聯繫我嗎？”

如果收件人真的聯繫了，他們通常會收到關於事故或其他緊急情況的回覆。為了“幫助”對方，收件人需要向特定帳戶轉賬一大筆款項。

密碼管理器

對於罪犯來說，訪問密碼管理器的加密保管庫特別有價值。

如果他們成功獲取主密碼，就能自由訪問各種登錄數據，從銀行帳戶到在線發送者，甚至流媒體服務和電子郵件服務及電話提供商的帳戶。

詐騙者試圖獲取LastPass的主密碼。這樣他們就能自由訪問所有存儲的密碼和登錄數據。

2024年春季，罪犯使用了一種新的手法。

他們正在使用釣魚工具包，這使得在網站上偽造登錄表單並添加所謂擁有公司的標誌變得非常簡單。這些工具包由犯罪團夥在線上分發，作為釣魚即服務的提供。

在具體情況下，攻擊者使用這種工具包重新創建了LastPass的登錄頁面。攻擊者隨後啟動了一系列自動撥打的電話，其中錄音消息解釋了有新設備試圖訪問LastPass帳戶的情況。

接聽者被告知按“1”以授權訪問，或按“2”以阻止。如果他們按“2”，則會接到一個自稱客服的人的電話。

這通電話來自一個真實的人，他會要求提供電子郵件地址，然後會向受害者發送一封電子郵件，指導他們如何重置主密碼。

這封電子郵件鏈接到犯罪者的網站，客戶被要求輸入其之前的主密碼。一旦罪犯獲得該密碼，他們便會登錄LastPass，並更改所有者的電話號碼和電子郵件地址，從而使其失去訪問權限。

由於詐騙者和受害者之間的首次接觸是通過電話，這種方法被稱為語音釣魚（vishing）。

在這種情況下，罪犯同樣施加壓力，讓他們所撥打的電話接聽者沒有時間思考。由於密碼管理器通常存儲重要帳戶的多個登錄數據，因此建議使用雙重身份驗證來保護它們，或者設置使用密碼鑰匙的登錄。

PayPal和Klarna

數據保護的話題現在已經進入公眾視野。許多人知道企業在處理客戶數據方面必須遵循法律規定。罪犯正是利用了這一點。

在一封帶有支付服務提供商PayPal標誌的電子郵件中，他們聲稱帳戶已被封鎖，因為帳戶信息尚未確認。

要解除帳戶封鎖，客戶必須啟用“3DS雙重授權”。儘管3DS身份驗證確實存在，但PayPal稱之為3D Secure。

點擊按鈕後，電子郵件的接收者會被要求輸入其電話號碼和PayPal登錄詳細信息。詐騙者隨後可以回撥請求轉賬所需的缺失數據，並將支付轉向他們的帳戶。

如何可靠地識別釣魚電子郵件

來自ING銀行的電子郵件應該有一個以ing.de結尾的地址，而不是來自support@zakitchha.dreamhostps.com。這是一個明確的釣魚指示。

網絡釣魚可能會導致高額的財務損失，因此要小心並仔細查看進來的電子郵件：

釣魚信息如今可能因為AI而措辭更佳，但它們仍然不是無誤的。你應該對外語短語、不正確或缺失的稱呼以及不尋常的措辭保持懷疑態度。
釣魚攻擊的特點是施加時間壓力。受害者被要求在幾個小時或幾天內進行付款或提供個人信息，否則將面臨巨大的財務損失、逮捕或類似的威脅。發件人給予的時間越少，這封郵件越有可能是釣魚郵件。
如果電子郵件包含按鈕或鏈接，將鼠標指向它（不要點擊！）並查看它實際鏈接到哪裡。如果不是所謂發件公司頁面的鏈接，那麼你可能正在處理釣魚信息。
將可疑電子郵件的主題行輸入Google，查看其他人是否也收到相同的消息。
如果你懷疑某封電子郵件是釣魚郵件，應立即刪除該郵件，並永遠不要回覆。

這篇文章最初出現在我們的姊妹出版物PC-WELT上，並從德語翻譯和本地化。

作者：Roland Freist，PCWorld貢獻者

Roland Freist是一名自由IT記者，專注於Windows、應用程序、網絡、安全和互聯網相關主題。

—

在當今數碼時代，網絡詐騙手法層出不窮，尤其是釣魚攻擊已經變得愈加狡猾。這篇文章不僅揭示了釣魚攻擊的多樣性，還提醒我們在面對這些攻擊時需要保持高度警惕。值得注意的是，使用人工智能的詐騙手法使得這些攻擊更具迷惑性，甚至讓人難以分辨真偽。作為普通用戶，我們應該加強對網絡安全的認知，並定期更新自己的安全防護措施，尤其是對於敏感信息的保護。使用雙重身份驗證和密碼管理器等工具，可以為我們的數據安全提供額外的保障。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。