如果你收到來自 security@mail.instagram.com 的郵件,並且內容涉及更改與帳戶相關的訊息,這類郵件是否為 Instagram 官方發出?
作者: 趨勢科技 TrendMicro
網路釣魚如何利用 CAPTCHA 人機驗證來躲避偵測?
本文探討利用 CAPTCHA 人機驗證來躲避偵測的網路釣魚攻擊,並提出一套資安框架來解決這類威脅。
CAPTCHA 的全名是「Completely Automated Public Turing test to tell Computers and Humans Apart」(區分電腦與人類的全自動化公開圖靈測驗),該測驗在資安領域扮演了提升安全、防止未經授權存取的關鍵角色。它基本上是一種「質詢/應答」(challenge-response) 機制,可用於區分自動化機器人與人類使用者。
近年來,CAPTCHA 技術突飛猛進,以至於許多服務供應商都提供免費的 CAPTCHA 工具來讓客戶保護網站,以免網站遭到網路攻擊。然而,駭客也開始在網路釣魚網站上利用 CAPTCHA 來躲避資安產品的偵測。由於 CAPTCHA 的設計原本就是為了阻擋自動化機器人進入網站,所以這類服務也會讓資安產品更難自動偵測網路釣魚。
也因此,傳統的偵測方法已經無法滿足當前的需要。本文討論趨勢科技如何解決這項挑戰:透過一套內建行為式 AI 防護技術的平台來偵測網路釣魚網站,有效應付進階躲避技巧。
延伸閱讀:【證明你不是機器人】後,竟被植入銀行木馬竊帳密, CAPTCHA 驗證機制被網路釣魚利用接收惡意網站通知、竊個資!
網路釣魚如何利用 CAPTCHA 來躲避偵測?
繼續閱讀萬聖節變裝趴?駭客與詐騙集團的變裝秀更精彩!
萬聖節不只鬼怪會變裝,詐騙手法也越來越高明!
萬聖節的腳步近了,除了精緻的南瓜燈、恐怖的鬼屋,還有什麼在暗處虎視眈眈呢?答案是:駭客與網路詐騙!他們擅長設計出各種迷惑性的詐騙手法,可說是網路世界的變裝高手,設下各種陷阱,等待獵物上鉤。 從結合 AI 假冒真人打電話的 Gmail 網路釣魚,到利用AI脫衣程式進行勒索,這些「變裝高手」充分展現了AI技術的黑暗面。
本文列舉五個比萬聖節更驚嚇的網路上的病毒/詐騙手法,提醒大家在這個充滿科技的時代,我們必須更加小心這些每天躲在暗處的「變裝高手」,他們埋伏在你的 Gmail 信箱、手機 app、甚至停車場都可能成為詐騙的目標!稍不注意,你的錢包就會被掏空、個資就會被轉賣。
五種再進化的病毒/詐騙偽裝術
◎ 重點預覽
► 變裝高手1:假Gmail 客服,高科技版「鬼來電」
► 變裝高手2:QR code大變身!掃碼驚魂,竟掃到錢包「吸血鬼」
► 變裝高手3:驗證碼變身「鬼」門關,一不小心就掉入陷阱
► 變裝高手4:AI 假面分身,悄然變成數位惡夢
► 變裝高手5:好奇下載脫衣程式,小心討債鬼惡靈病毒纏身
繼續閱讀
生成式AI越懂你,你越需留意!趨勢科技指出AI時代常見上網行為的3大資安隱憂
全新PC-cillin 2025持續強化AI智能防毒防詐保護上網安全
【2024年10月17日,台北訊】生成式AI重塑人類的思考與想像,各式利用生成式AI技術開發的應用不僅限於使用AI助理找尋答案、摘要文件,也可以製作影片或是被運用來開發如社群及性格特質解析的各式App。然生成式AI精準又巧妙的回饋,主要仰賴處理和爬梳人類日常使用社群媒體、瀏覽網頁與應用程式中的大量數據資料,在提升工作效率與生活樂趣時,若民眾個資遭不慎濫用或常用的AI助理遭惡意汙染,將衍生嚴重的資安問題。全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)全新PC-cillin 2025升級多項功能,並持續運用先進AI深度學習技術提高網路病毒與網路威脅偵測效率,協助民眾增強在AI時代下的網路資安防禦力。
此外,趨勢科技也剖析AI世代下,民眾使用AI助理、上社群、瀏覽網頁時的3大資安隱憂,籲民眾留心並重視網路身份安全。在PC-cillin 2025上市之際,趨勢科技也推出「上市特惠:登錄送500,抽iPhone 16」活動,於10月17日至12月31日期間內新購PC-cillin 2025雲端版和PC-cillin Pro三台防護版,登錄送500元7-11 電子禮券,再抽最新iPhone 16 (一名,市價$29,900),鼓勵民眾善用最AI的專業防毒軟體PC-cillin 2025防止個資外洩或隱私遭侵犯問題,共同在AI世代下打造安心連網世界!
繼續閱讀AI一鍵脫衣,假裸照真勒索!想體驗AI脫衣魔法?當心反被勒索病毒扒光錢包
逾10萬假裸照散布社群網站, Deepfake 換臉工具氾濫,詐騙危機再升級
想像一下您接到一通視訊電話,但卻發現它是網路駭客製作的深偽視訊,而且幾可亂真。這樣的情境再也不是科幻小說的場景,而是今日數位領域正在快速演進的真實威脅。早在2020 年BBC 報導在社群媒體上有超過10萬名女性的照片,遭人「AI一鍵脫衣」製作造假裸照散佈網路,更令人憂心這些照片被用來從事色情勒索。今年九月韓國也爆發大規模AI假裸照危機,據華爾街日報指出,受害者包括教師、軍官、大學生和小學生。而日前宣稱只要提供一張任何人的照片,就能生成出裸照的工具,也遭駭客利用,誘使下載後,植入勒索病毒等惡意程式。
趨勢科技的最新研究指出,深偽 (deepfake) 技術越來越容易取得,而且網路犯罪地下市場上的 AI 工具也越來越精密。這樣的演變,衍生出更多 AI 遭大規模濫用的機會,甚至讓不具備技術能力的網路犯罪分子也能輕鬆駕馭 AI 。
深偽工具氾濫,犯罪門檻降低,任何人都可能是受害者
在過去,這類變造手法的主要目標通常是名人,但現在,任何人,甚至未成年人或未經同意的成年人都可能成為受害者,尤其在社群媒體的持續擴散下。事實上,美國聯邦調查局 (FBI) 已發出警告指出深偽被用於性愛勒索與恐嚇犯罪所帶來的風險。網路犯罪地下市場上許多新的深偽工具都宣稱可以完美製作極為逼真的偽造影片和圖片。包括:
- DeepNude Pro:這是一項 AI 脫衣犯罪服務,宣稱只要提供一張任何人的照片,就能生成出該人沒穿衣服的裸照,可用來從事色情勒索。
- Deepfake 3D Pro:可從受害者的照片取出臉部來產生全合成的 3D 虛擬角色,虛擬角色可透過程式控制來發表預錄或生成的談話,為了讓虛擬分身看起來更加逼真,它的眼睛還會經常看著不同的方向,就像真人在講話時一樣。騙過銀行的 KYC 真人認證,或用來假冒名人從事詐騙或撥打網路釣魚電話。
- Deepfake AI:可讓駭客將受害者的臉部移花接木到不堪的影片上來破壞受害者的名聲或用來勒索,也可用來散播假新聞。只支援預錄的影片。
- SwapFace:可讓駭客偽造即時串流影音來從事變臉詐騙 (BEC) 攻擊或其他企業詐騙。
- VideoCallSpoofer:與 SwapFace 類似,可從圖片產生逼真的 3D 虛擬角色,並且讓角色即時模仿演員的臉部動作。這可以讓深偽用於視訊會議電話以及類似的詐騙、假新聞等等的騙局。
SwapFace 與 Avatar AI VideoCallSpoofer 兩者都具備了即時的視訊換臉功能。因此可用來從事深偽視訊電話詐騙,就像 2024 年 2 月發生的案例一樣,受害的金融機構員工因為被深偽視訊電話所騙而匯款了 2,500 萬美元給歹徒。
繼續閱讀