萬聖節不只鬼怪會變裝,詐騙手法也越來越高明!
萬聖節的腳步近了,除了精緻的南瓜燈、恐怖的鬼屋,還有什麼在暗處虎視眈眈呢?答案是:駭客與網路詐騙!他們擅長設計出各種迷惑性的詐騙手法,可說是網路世界的變裝高手,設下各種陷阱,等待獵物上鉤。 從結合 AI 假冒真人打電話的 Gmail 網路釣魚,到利用AI脫衣程式進行勒索,這些「變裝高手」充分展現了AI技術的黑暗面。
本文列舉五個比萬聖節更驚嚇的網路上的病毒/詐騙手法,提醒大家在這個充滿科技的時代,我們必須更加小心這些每天躲在暗處的「變裝高手」,他們埋伏在你的 Gmail 信箱、手機 app、甚至停車場都可能成為詐騙的目標!稍不注意,你的錢包就會被掏空、個資就會被轉賣。
五種再進化的病毒/詐騙偽裝術
◎ 重點預覽
► 變裝高手1:假Gmail 客服,高科技版「鬼來電」
► 變裝高手2:QR code大變身!掃碼驚魂,竟掃到錢包「吸血鬼」
► 變裝高手3:驗證碼變身「鬼」門關,一不小心就掉入陷阱
► 變裝高手4:AI 假面分身,悄然變成數位惡夢
► 變裝高手5:好奇下載脫衣程式,小心討債鬼惡靈病毒纏身
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的內容。
網路詐騙手法更精巧 鎖定Airbnb、Booking.com用戶 科技島
小心!駭客用「Gmail恢復通知」詐騙 超逼真手法曝光 CTWant
不怕再被騙!Google搜尋網頁也用「藍勾勾」辨識網站真偽 udn科技玩家
駭客也來找工作?人資當心「應徵者履歷」有假 恐藏後門洩資料 三立新聞網
【資安日報】10月15日,北韓駭客針對支付處理系統散布惡意軟體 iThome
北韓駭客散布惡意軟體FASTCash,意圖洗劫提款機 iThome
國家級駭客利用Ivanti CSA漏洞進行網路滲透 iThome
駭客兜售聲稱竊自思科的開發、憑證資料,可能殃及微軟、AT&T iThome
個資保護 明碼儲存用戶密碼,Meta被愛爾蘭政府罰款9,100萬歐元 iThome電腦報周刊
《寶可夢》遭駭「未公開資料洩漏」出事了!新遊戲、電影續集全外流 中時新聞網
LIVE NATION因用戶個資外洩遭提?!受害者逾5.6億用戶 中時新聞網
AI深偽新工具一秒破解「交易所KYC」,怎麼防、如何影響幣圈? BLOCKTEMPO
OpenAI 證實 ChatGPT 遭濫用於編寫惡意軟體 資安人
OpenAI取締駭客用AI進行認知作戰 iThome
Windows核心漏洞遭伊朗駭客OilRig用於提升權限,便於後續植入後門程式 iThome
Word文件儲檔恐系統刪除 微軟提醒:避免這2種副檔名 CTWant
繼續閱讀想像一下您接到一通視訊電話,但卻發現它是網路駭客製作的深偽視訊,而且幾可亂真。這樣的情境再也不是科幻小說的場景,而是今日數位領域正在快速演進的真實威脅。早在2020 年BBC 報導在社群媒體上有超過10萬名女性的照片,遭人「AI一鍵脫衣」製作造假裸照散佈網路,更令人憂心這些照片被用來從事色情勒索。今年九月韓國也爆發大規模AI假裸照危機,據華爾街日報指出,受害者包括教師、軍官、大學生和小學生。而日前宣稱只要提供一張任何人的照片,就能生成出裸照的工具,也遭駭客利用,誘使下載後,植入勒索病毒等惡意程式。
趨勢科技的最新研究指出,深偽 (deepfake) 技術越來越容易取得,而且網路犯罪地下市場上的 AI 工具也越來越精密。這樣的演變,衍生出更多 AI 遭大規模濫用的機會,甚至讓不具備技術能力的網路犯罪分子也能輕鬆駕馭 AI 。
在過去,這類變造手法的主要目標通常是名人,但現在,任何人,甚至未成年人或未經同意的成年人都可能成為受害者,尤其在社群媒體的持續擴散下。事實上,美國聯邦調查局 (FBI) 已發出警告指出深偽被用於性愛勒索與恐嚇犯罪所帶來的風險。網路犯罪地下市場上許多新的深偽工具都宣稱可以完美製作極為逼真的偽造影片和圖片。包括:
SwapFace 與 Avatar AI VideoCallSpoofer 兩者都具備了即時的視訊換臉功能。因此可用來從事深偽視訊電話詐騙,就像 2024 年 2 月發生的案例一樣,受害的金融機構員工因為被深偽視訊電話所騙而匯款了 2,500 萬美元給歹徒。
繼續閱讀詐騙頭條重點預覽:別再相信抖音的假消息了! 郵局根本沒有推出100萬免息貸款。詐騙集團慣用這種手法,誘騙民眾提供個人資料,進而盜用帳戶。請大家牢記:郵局目前僅提供壽險房貸,其他貸款訊息都是假的!請慎防貸款詐騙,以免淪為人頭帳戶!
以下為大家整理本周最新的詐騙新聞周報,請大家對相關訊息提高警覺:
郵局開辦百萬免息貸款?中華郵政急澄清:那是詐騙 自由時報電子報
冒名詐騙猖獗「Meta就占99.4%」 數發部:可考慮平台連帶責任 ETtoday新聞雲
詐騙集團颱風天沒休假 2天全國財損近5億元 自由時報電子報
小心!受害者遭「駭客入侵」幫儲值消費 UE、PChome都遭殃 CTWant
駭客盯上樂高迷!官網發布LEGO幣詐騙,社群:真假一眼看穿 BLOCKTEMPO
駭客偽裝成求職者散布後門程式More_eggs iThome
「殺豬盤」App 橫行,注意手機中是否有假交易應用程式 科技新報網
趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。
【PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載 立即掃描
繼續閱讀頻繁的驗證會讓人感到厭煩,為了快速進入觀看頁面,很多人會不假思索地按下「我不是機器人」。但是誰在驗證你不是機器人? 有時候不見得是安全機制,而是更進化的網路釣魚騙術。近日又出現釣魚網站偽裝「我不是機器人」驗證機制,本文幫大家整理了一些案例,一起來增加對抗網路釣魚的免疫力吧!
最近(2024年9月)近日,許多 GitHub 使用者收到「專案程式碼存在嚴重安全漏洞」的釣魚郵件。郵件內容會引導使用者點擊一個惡意連結,進入頁面後會彈出一個類似 Google CAPTCHA 的驗證視窗,要求使用者打開 Windows PowerShell 執行命令來完成所謂的人機驗證,一旦執行,惡意程式就會悄悄潛入使用者系統,對其造成潛在威脅。
☞ 詳請請看T客邦報導:釣魚網站騙人新招:偽裝「我不是機器人」驗證機制、誘導用戶打開Windows執行惡意命令
2021年8月媒體報導指出有用戶點入一個網路流傳的連結網站準備觀看影片時,會跳出一個類似Google reCAPTCHA的圖形驗證,提示求用戶依序點入鍵盤中的指定鍵才能觀看。這其實是誘使用戶繞過瀏覽器的防護,同意下載安裝程式。當用戶依照提示按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的 Enter 鍵時,就會開啟以下載並執行 Gozi/Ursnif 銀行木馬,該惡意程式會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,已經超過百家義大利銀行客戶受害。
☞ 詳請請看 IT home 報導:Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦 。
