来自 Cofense 网络钓鱼防御中心的 Harsh Patel 和 Brandon Cook 最近的一份报告强调了一种危险的新策略,该策略旨在通过将政府 ID 网络钓鱼与面部识别视频捕捉相结合来利用在线用户。这种复杂的攻击不仅危及个人安全,还破坏了公众对我们日常依赖的数字基础设施的信任。

网络钓鱼计划以一封声称需要紧急身份验证以保证账户连续性的电子邮件开始。帕特尔和库克称,“失去功能或服务访问权是引诱用户提交信息的常用方法”。这就造成了一种紧迫感,导致受害者在没有仔细检查其真实性的情况下点击恶意链接。


电子邮件正文 | 图片: Cofense

受害者一旦点击链接,就会看到一个看似合法的验证码页面,目的是降低怀疑。正如帕特尔和库克所描述的,“这种验证码式页面并不常见,因此是一种有趣的欺骗手段”。添加的保证文字,如 “不必害怕–这是安全可靠的”,进一步操纵受害者信任这一过程。

验证码之后,用户会被引导到一个虚假身份验证页面,在那里他们被要求上传政府颁发的身份证件。这个页面的设计虽然简单,但却有欺诈的迹象,包括不相关的域名和含糊不清的信息。


国家和文件类型 | 图片: Cofense

这种攻击的最后一步是窃取生物识别数据。用户被指示进行 “自拍检查”,模仿合法的面部识别系统。“开始录制 ”按钮的加入标志着向更复杂的网络钓鱼技术的转变。帕特尔和库克警告说:“通过恶意网站复制或欺骗生物识别数据的可能性引发了更大的担忧。”

这种方法代表了网络钓鱼攻击的危险演变。通过将传统的身份盗窃技术与生物识别数据捕获相结合,网络犯罪分子获得了难以更改或撤销的高度敏感信息。报告强调了人工智能技术的进步所带来的风险,犯罪分子可以利用人工智能技术进一步操纵和利用窃取的生物识别数据。

报告强调了识别网络钓鱼红旗的重要性。其中包括通用问候语、可疑链接和电子邮件中的语法错误。报告还强调了在面对不寻常的个人信息请求时进行批判性思考的必要性。正如帕特尔和库克所指出的,“识别电子邮件中的红色信号……有助于在日益数字化的世界中防止身份盗窃和保护个人信息。”

文章原文链接:https://www.anquanke.com/post/id/302162