FBI 的建議錯了——這些 Gmail 攻擊建議根本無法幫助你
在今天,我原本不打算批評聯邦調查局(FBI)針對可能成為電子郵件釣魚詐騙受害者的建議,但現實卻是如此。谷歌已經向 Gmail 用戶發出警告,表示第二波詐騙攻擊正在來襲,並強調了三種特別流行的攻擊方法,所提供的緩解建議基本上是合理的。然而,FBI 也針對季節性釣魚詐騙發出警告,而一些專家認為其建議非常錯誤。以下是你需要了解的事情。
FBI 釣魚緩解建議的問題
FBI 最近對 Gmail、Outlook 和 Apple Mail 用戶發出了針對季節性釣魚攻擊的再次警告。所提供的緩解建議大致上是合理的,包括在訪問網站之前核實網址、對過於美好的交易保持警惕,以及使用安全的支付方式。當然,鏈接懸停攻擊使得網址檢查的建議變得稍微複雜,但這依然是明智的。
然而,FBI 還在持續強調的一條建議則不再適用,尤其是隨著 2024 年進入 2025 年:檢查任何通信中的拼寫。雖然這在使用替代拼寫和字符集的網址中是相關的,但在電子郵件內容中,現在你無法再指望攻擊者會犯拼寫錯誤或在所用語言中語法不正確。這可能只是 FBI 本身溝通不當的結果,實際上是指鏈接中的拼寫錯誤。然而,這並不是我或其他許多人所理解的,特別是對於那些最有可能成為受害者的非技術用戶來說。
FBI 應該說的話
問題是,我其實是 FBI 公共服務公告和警告的忠實粉絲,這些公告通常在提醒公眾安全問題和如何緩解方面都非常準確。例如,最近關於針對智能手機用戶的 AI 生成釣魚攻擊增加的報導,以及建議掛斷電話並創建安全詞的建議。FBI 關於 AI 使用的公共服務公告甚至確認,“罪犯使用生成型 AI 工具來協助語言翻譯,以減少針對美國受害者的外國犯罪者的語法或拼寫錯誤。”
根據最近的報導,憑藉生成型 AI 的擴大使用,證書釣魚電子郵件攻擊的數量激增,Critical Start 的網絡威脅研究高級經理 Callie Guenther 表示,這一增長“與生成型 AI 的擴大使用相一致,這使得攻擊者能夠大規模生成自然語言的釣魚內容,跨語言本地化活動,以及自動化深度個性化。”
FBI 應該說的是,它在另一個公共服務公告中提到的,生成型 AI 現在已經達到足夠好的水平,並且價格便宜到罪犯可以使用它來創建語法正確且無拼寫錯誤的釣魚電子郵件,因此在緩解措施中不要再依賴那種“檢查錯誤”的舊建議。
在這個數字時代,網絡安全的風險與日俱增,尤其是針對普通用戶的攻擊手法越來越高明。FBI 應該及時更新建議,以便讓公眾更有效地應對不斷演變的網絡威脅。這不僅是對公眾的負責,也是對其自身專業性的重視。希望未來能看到更具前瞻性的建議,幫助用戶在這個危險的網絡環境中更好地保護自己。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
