paint-brush
历史上最具创意的三大网络诈骗经过@zacamos
519 讀數
519 讀數

历史上最具创意的三大网络诈骗

经过 Zac Amos4m2024/06/12
Read on Terminal Reader

太長; 讀書

Dyre Banking 诈骗、WPP Deepfake 诈骗以及针对小型企业的误导性诈骗广告是历史上最具创意的网络诈骗。以下是它们的运作方式,以便您不会成为相同攻击的受害者。
featured image - 历史上最具创意的三大网络诈骗
Zac Amos HackerNoon profile picture
0-item

一个众所周知的网络安全问题是,攻击变得越来越有创意,这对网络安全专业人员来说是一个挑战,导致他们经常遇到规模空前的攻击。哪些例子最能突破界限?

1. Dyre 银行诈骗案

黑客喜欢瞄准利润最高的行业,因此银行频繁成为网络攻击的目标也就不足为奇了。银行要么是受到威胁的企业,要么是旨在诱使消费者在收到看似来自银行的电子邮件后采取特定行动的对象。


2014 年首次发现的针对银行的诈骗利用了 Dyre 恶意软件,该恶意软件会入侵受害者的浏览器并窃取登录金融机构平台和其他安全界面的凭证。该骗局始于有人收到一封据称包含未付发票的电子邮件附件。此外,附件中还包含恶意软件,旨在利用收件人的 Adobe Reader 软件中未修补的漏洞。


这些方面都体现了网络犯罪分子的创造性思维。首先,他们知道这种模糊但听起来相关的发票附件名称会引起人们的兴趣。由于生活如此忙碌,有人可能会偶尔忘记付款。文件名拼写错误是这次网络攻击的标志性特征,但犯罪分子大概希望人们不会注意到或关心。


诈骗者还正确地认为他们的目标不会经常更新 Adobe 软件,从而为有进取心的黑客创造了许多潜在的切入点。一旦有人上当并下载了附件,恶意软件就会自我复制,并在该人的计算机上创建看似无害的“Google 更新服务”。然后,它会设置注册表项并开始记录击键数据,然后再将其发送给黑客。


截至 2016 年,美国政府当局所有主流防病毒软件均表示供应商的产品已经检测到了这种威胁。然而,检测需要人们定期使用和更新此类工具。


银行员工严格了解客户程序以防止欺诈并建立风险概况。这些无疑是必要的,但这次骗局表明,当客户陷入恶意软件的陷阱时,事情很容易出错。

2. WPP Deepfake 骗局

随着技术的进步,网络犯罪分子利用技术的创造力也在不断提升。人工智能 (AI) 已经变得如此可信,消费者不得不认识到,由于精心设计的深度伪造,他们不一定能相信他们看到或听到的一切。


英国跨国广告和公关公司 WPP 的首席执行官马克·里德 (Mark Read) 最先关注到这一状况。这位高管最近详细介绍了一起利用众多平台和媒体类型的深度伪造骗局。


里德解释了黑客如何建立新的 WhatsApp 帐户,并使用他的一张公开照片作为个人资料图片。他们利用这张照片在 Microsoft Teams 上安排了与另一位高管的会面,后者以为他们正在与里德接触。


在会议期间,网络犯罪分子部署了 Read 的语音克隆和 YouTube 视频,同时在 Microsoft Teams 聊天窗口中进行互动,冒充 Read,并用看起来、听起来和读起来都像领导的材料欺骗其他与会者。目的是说服机构负责人成立一家新公司,然后骗子会从他们那里获取财务和个人信息。


这次骗局失败了,Read 认为这导致他的公司警惕,包括那位被攻击的高管没有像黑客希望的那样做出回应。这位首席执行官指出,每个人都必须警惕越来越复杂的伎俩,包括那些超出某人电子邮件收件箱范围的伎俩。


一些技术专家认为,区块链是确保人们的声音特征和防止恶意篡改带有经过验证的剪辑。然而,由于知名人物的声音在电视、广播、YouTube 甚至有声读物中随处可见,因此有动机的网络犯罪分子拥有大量数据可供利用。

3. 针对小企业的误导性人工智能广告

没有任何公司或个人能够完全免受网络诈骗的侵害,但成功策划的攻击对某些受害者的影响比其他受害者更为灾难性。小型企业就是很好的例子,因为这类组织通常缺乏资源来全面、快速地恢复。


然而,2023 年的一项研究表明, 73% 的小型企业遭受过网络攻击、数据泄露或两者兼而有之。2024 年的一份报告发现网络攻击60% 的人最关心受访者表示,他们已经了解威胁的严重性。


不幸的是,诈骗者知道小企业主是极佳的目标,并可能利用受害者希望使用新技术改善工作流程的愿望。针对小企业的诈骗就是一个例子,它引起了 Google 高管的注意,并导致公司对诈骗者提起诉讼。


这些策略以 Google Bard(现称为 Gemini 的大型语言模型)为中心。这家科技公司的第一起诉讼针对的是那些创建社交媒体资料和广告鼓励小企业主下载 Bard 的不良行为者。


然而,谷歌并没有要求人们下载任何东西才能使用它;相反,它将该工具集成到其许多现有产品中。那些陷入这种骗局的人以为下载一些东西就能让他们使用 Bard。相反,它却给了他们恶意软件,破坏了他们的社交媒体资料。


2023 年 4 月至 11 月期间,谷歌提交了大约300 份相关删除通知政府希望通过一项命令,阻止犯罪分子建立类似的网站,并停用目前在域名注册商处备案的网站。


这个骗局非常有创意,因为它利用了谷歌的品牌知名度和人们尝试新产品以使业务运营更便捷的兴趣。

真相与谎言交织

这些创意十足的网络诈骗证明,策划者会不择手段地实现自己的目标。即使这些努力没有取得成效——就像 WPP 深度伪造案一样——它们也成为警告,提醒人们必须时刻警惕那些表面上看似不实的事情。毕竟,大多数网络诈骗都有真实成分和虚假成分。


有一款名为 Google Bard 的产品,但使用时无需下载软件。Mark Read 是 WPP 的首席执行官,但他从未安排或参与过有关建立新业务的会议。这些案例凸显了在做出可能带来灾难性后果的决定之前仔细思考和核实索赔的重要性。