Clickfix 与 AI：黑客入侵系统的新威胁与防护

1次阅读

共计 1924 个字符，预计需要花费 5 分钟才能阅读完成。

alengo / E+ / Getty Images

网络犯罪分子正在转变他们的技术，专注于人为因素，Clickfix 社交工程和 AI 滥用变得更加流行。

周三，Mimecast 发布了最新的全球威胁情报报告，该报告追踪了 2025 年 1 月至 9 月的威胁活动并分析了数万亿的信号。

这份关于现代网络威胁的报告包括常见的嫌疑：钓鱼、勒索软件、利用流行商业工具如 DocuSend 以及行业特定的威胁。然而，两种趋势突出了针对诈骗中人为因素的策略转变，这些策略以更高的效率锁定受害者。

许多网络安全公司和科技巨头，包括微软，都在警告用户注意 Clickfix——一种被全球威胁行为者采用的社交工程技术。

Clickfix 是一种绕过传统反钓鱼技术的方法，通过诱使受害者提供对网络或系统的初始访问，从而消除对恶意软件的需求。虚假的错误信息、看似微小的技术问题警报以及更可疑的信息——如看似免费安装授权软件的方式——与简单的分步指南一起显示给受害者。

不幸的是，这些“指南”引导用户启动 PowerShell 并输入命令，触发下载恶意负载，包括信息窃取者和勒索软件。

Mimecast 表示，Clickfix 率在 2025 年上半年激增了 500%，占所有攻击的约 8%。

Mimecast 威胁研究工程师 Hiwot Mendahun 告诉 ZDNET，威胁行为者正在采用 Clickfix 作为初始访问的手段，公司认为“它将继续被用作下载信息窃取者、勒索软件、远程访问木马（RATs）和自定义恶意软件的手段。”

“使用 RMM [远程监控和管理] 工具以相同方式启用初始访问也是一个我们继续看到增加的向量，活动真正专注于社交工程方面，”Mendahun 补充道。

随着任何新的技术创新，滥用也会发生。例如，人工智能（AI）在钓鱼和商业电子邮件妥协（BEC）诈骗中越来越多地被采用。

虽然在钓鱼和 BEC 诈骗中冒充员工或高管并不新鲜，但 AI 被用于使电子邮件链看起来更可信——而不仅仅是创建初始钓鱼邮件。

Mimecast 表示，AI 被用于生成冒充多人的完整对话链，包括供应商、高管和第三方。

例如，在侦察阶段，攻击者可能会找到财务信息和报告、HR 数据以及可用于 AI 生成的电子邮件线程的工资信息。然后，AI 被用于伪造供应商、员工和高管之间的对话，通常带有紧迫感——例如立即支付发票的请求。

最近的 BEC 攻击向量集中在虚假发票支付、银行账户详细信息变更、工资更新和电汇。团队认为，随着 AI 滥用与深度伪造语音和视频内容的使用增加，这些诈骗将变得越来越难以检测。随着 AI 工具的普及，更多的网络犯罪分子将能够进入该领域。

“在这些活动中使用 AI 特别赋予威胁行为者真正大规模生产更具针对性的线程的能力，使用自动化并可能改变内容以帮助绕过基于内容的检测，”Mendahun 评论道。“在自动化电子邮件之外，我们确实看到在 BEC 活动中使用深度伪造语音和视频，这提高了大型欺诈交易的成功率。”

根据 Mimecast 的说法，教育、IT、电信、法律部门和房地产公司最容易受到冒充和基于社交工程的攻击，“因为这些部门通常直接访问高价值目标，处理敏感的财务交易，并管理机密客户信息。”

关于房地产，公司表示，社交工程攻击率稳步上升，这可能表明一些犯罪集团正在转向该部门，远离更传统的目标。

包括 Scattered Spider 和 TA2541 在内的团体已被链接到针对这些行业的攻击。

钓鱼和社交工程攻击并不新鲜，但它们的实施方式在不断演变——Clickfix 技术为这一混合体增添了另一个危险元素。为了减少成功入侵的风险，请考虑以下建议：

增加控制：通过实施额外的认证和授权检查——最好跨多个平台或部门——在未授权的欺诈发票和 BEC 相关支付请求为时已晚之前有更多机会被捕获。
多因素认证（MFA）：即使钓鱼活动成功，使用双因素认证（2FA）或 MFA 也可以减少账户劫持的风险。
培训和意识 ：员工，特别是那些具有特权状态和访问敏感资源或支付系统的员工，应定期接受培训以识别钓鱼、BEC 和社交工程尝试。然而，这并不意味着一次性的年度培训。
零信任架构：在可能的情况下，组织应考虑实施基于零信任原则的系统架构和控制，以便员工无法访问任何对其工作角色完全不必要的资源，从而减少攻击面。
Clickfix：关于 Clickfix 社交工程策略，传统的反钓鱼方法将不起作用，因为它们旨在诱使受害者自己执行恶意活动。提高对 Clickfix 的意识，并强调在不确定命令会做什么时向机器提交命令是危险的，可能导致系统完全被劫持。

正文完