共计 1973 个字符,预计需要花费 5 分钟才能阅读完成。
一份最新报告揭示,黑客正在改变策略,将目标转向人类进行诈骗,并且这种策略正在奏效。看看谁最容易受到 Clickfix 攻击的威胁。
Bill Hinton/Moment via Getty Images
网络犯罪分子正在改变他们的技术,专注于人类因素,Clickfix 社交工程和 AI 滥用变得更加流行。
周三,Mimecast 发布了其最新的 全球威胁情报报告,该报告跟踪了 2025 年 1 月至 9 月的威胁活动,并分析了数万亿条信号。
这份关于现代网络威胁的报告包括常见的嫌疑人:钓鱼攻击、勒索软件、对流行商业工具(如 DocuSend)的利用,以及行业特定的威胁。然而,有两个趋势突出了针对人类因素的诈骗策略的转变,这些策略正在以更高的效率瞄准受害者。
Clickfix 率激增
包括微软在内的许多网络安全公司和科技巨头都在提醒用户注意 Clickfix——一种被全球威胁行为者采用的社交工程技术。
Clickfix 是一种绕过传统反钓鱼技术的方法,通过诱使受害者提供对网络或系统的初始访问,从而消除对恶意软件的需求。虚假的错误消息、看似轻微的技术问题警报以及更可疑的消息——例如显然免费安装许可软件的方式——会与简单的分步指南一起显示给受害者。
不幸的是,这些“指南”会引导用户启动 PowerShell 并输入命令,从而触发恶意负载的下载,包括信息窃取器和勒索软件。
Mimecast 表示,Clickfix 率在 2025 年上半年激增了 500%,占所有攻击的约 8%。
Mimecast 威胁研究工程师 Hiwot Mendahun 告诉 ZDNET,威胁行为者正在采用 Clickfix 作为初始访问的手段,并且该公司认为“它将继续被用作下载信息窃取器、勒索软件、远程访问木马(RATs)和自定义恶意软件的手段。”
“使用 RMM [远程监控和管理]工具以相同方式实现初始访问的途径也在增加,这些活动真正专注于社交工程方面,”Mendahun 补充道。
新一波 AI 驱动的 BEC 诈骗
随着任何新技术的创新,滥用也会发生。例如,人工智能(AI)在钓鱼和商业电子邮件泄露(BEC)诈骗中的应用越来越多。
虽然在钓鱼和 BEC 诈骗中冒充员工或高管并不新鲜,但 AI 正在被用于使电子邮件链看起来更可信——而不仅仅是创建初始钓鱼邮件。
Mimecast 表示,AI 被用于生成冒充多人的完整对话链,包括供应商、高管和第三方。
例如,在侦察阶段,攻击者可能会找到可用于 AI 生成的电子邮件线程的财务信息和报告、HR 数据和薪资信息。然后,AI 被用于在供应商、员工和高管之间伪造对话,通常带有紧迫感——例如要求立即支付发票。
最近的 BEC 攻击向量集中在虚假发票支付、银行账户详细信息更改、薪资更新和电汇。团队认为,随着 AI 滥用与深度伪造语音和视频内容的使用增加,这些诈骗将变得越来越难以检测。并且随着 AI 工具的普及,更多的网络犯罪分子将能够进入这一领域。
“在这些活动中使用 AI 特别赋予了威胁行为者真正大规模生产更具针对性的线程的能力,使用自动化并可能改变内容以帮助绕过基于内容的检测,”Mendahun 评论道。“除了自动化电子邮件外,我们确实看到了在 BEC 活动中使用深度伪造语音和视频的情况,这提高了大型欺诈交易的成功率。”
谁处于风险中?
根据 Mimecast 的说法,教育、IT、电信、法律部门和房地产公司最容易受到冒充和基于社交工程的攻击,“因为这些部门通常直接接触高价值目标,处理敏感的财务交易,并管理机密的客户信息。”
关于房地产,该公司表示,社交工程攻击率正在稳步上升,这可能表明一些犯罪集团正在转向这一领域,而远离更传统的目标。
包括 Scattered Spider 和 TA2541 在内的团伙已被证实与针对这些行业的攻击有关。
建议
钓鱼和社交工程攻击并不新鲜,但它们的执行方式在不断演变——而 Clickfix 技术为这一领域增添了另一个危险元素。为了减少成功入侵的风险,请考虑以下建议:
- 增加控制:通过实施额外的身份验证和授权检查——最好跨多个平台或部门——在未授权的欺诈发票和 BEC 相关的支付请求为时已晚之前,有更多机会被捕获。
- 多因素身份验证(MFA):即使钓鱼活动成功,使用双因素身份验证(2FA)或 MFA 也可以减少账户劫持的风险。
- 培训与意识:员工,特别是那些拥有特权地位和访问敏感资源或支付系统的员工,应定期接受培训,以识别钓鱼、BEC 和社交工程尝试。然而,这并不意味着一年一次的培训就够了。
- 零信任架构:在可能的情况下,组织应考虑实施基于零信任原则的系统架构和控制,以便员工无法访问其工作角色完全不必要的任何资源,从而减少攻击面。
- Clickfix:关于 Clickfix 社交工程技术,传统的反钓鱼方法将不起作用,因为它们旨在诱使受害者自己执行恶意活动。提高对 Clickfix 的认识,并强调在不确定命令将做什么的情况下向机器提交命令是危险的,可能导致系统完全被劫持。
