隨著年底的臨近,安全專家列出了 2024 年網路使用者面臨的主要威脅。證明點,來年也將以外觀為標誌甚至更複雜的戰術在網路犯罪者的世界裡。這家專門從事電腦安全的美國公司在一份報告中估計,來年的威脅“將永遠圍繞著人類”。駭客不會尋找電腦系統中的缺陷,而是會嘗試操縱用戶,特別是透過社會工程技術。
“對於網路防禦者來說,2024 年將是艱難的一年,他們將不得不面對更精確的網路犯罪分子,他們將尋求完善他們的策略,以進一步利用每個人的弱點”,也警告守望衛士科技透過其安全主管科里·納赫賴納 (Corey Nachreiner)。
專家們卡巴斯基同意同一方向。對他們來說,“網路犯罪分子將越來越多地利用尖端技術提供的熱門話題和工具”來誘騙明年的網路使用者。正如卡巴斯基安全和隱私專家 Anna Larkina 所指出的:“網路詐騙形勢瞬息萬變,網路犯罪分子不斷開發新騙局”。
另請閱讀:這是有史以來最有名的 5 位駭客
人工智慧,網路犯罪分子的新強大武器
毫不奇怪,在海盜使用的新武器中,我們發現了人工智慧。正如卡巴斯基在一份報告中指出的那樣,ChatGPT 的到來早在 2022 年 11 月就已徹底結束。擾亂了網路犯罪的世界。事實上,近幾個月來,網路犯罪分子大規模採用依賴生成人工智慧的工具。駭客和詐騙者會毫不猶豫地使用 ChatGPT 或 Google Bard 編寫令人信服的網路釣魚訊息、向用戶勒索金錢、輕鬆編寫惡意軟體或想像新的駭客技術。
這也是今年簡訊釣魚攻擊數量激增的部分原因。網路犯罪分子利用人工智慧撰寫詐欺訊息越來越有說服力。正如 Proofpoint 所解釋的那樣,“這項技術可以加速和提高網路釣魚攻擊的複雜性,更加接近目標受害者所經歷的現實,從而增加他們點擊被轟炸的電子郵件的傾向”或簡訊。
客製化人工智慧模型,例如蠕蟲GPT或 FraudGPT 也已出現。這些模型由網路犯罪分子設計並在黑市上出售,可以幫助駭客進行活動。與 ChatGPT 和其他人不同,它們沒有道德限制。對於網路安全專家來說,犯罪分子顯然預計將在 2024 年繼續使用生成式人工智慧。“預計生成式人工智慧和傳統技術的交叉點會出現新的、複雜的漏洞”,為網路犯罪分子提供了新的遊樂場。
敏感資料、AI與反擊
此外,惡意行為者將依靠生成式人工智慧的興起來外洩敏感數據。語言模型依賴大量的訓練資料。在這個訓練語料庫中,我們經常發現網路犯罪分子非常喜歡的個人資訊。透過針對性的查詢,利用AI模型程式碼中的漏洞,理論上可以提取這些信息,儘管像 OpenAI 這樣的公司採取了一系列預防措施。對於 Proofpoint 來說,無論是惡意還是善意的駭客都將設法« 破解代碼並操縱法學碩士(編按:大語言模型)讓他透露私人數據 »,到 2024 年資料隱私將面臨風險。
麥克菲專家認為,人工智慧也將幫助駭客進行影響力活動在社群網路上有效。透過使用 Midjourney 等工俱生成圖像或視頻,螢火蟲甚至 Dall-E,惡意個人會“以前所未有的方式操縱社交媒體並塑造公眾輿論”。特別是,他們會利用科技透過深度偽造來冒充名人,這將模糊“虛構與現實的界線”,麥克菲擔心。
然而,人們不應該期望“人工智慧將在不久的將來顯著擾亂威脅格局”,卡巴斯基脾氣暴躁。事實上,駭客使用的工具也在安全專家的掌握範圍內:
「如果網路犯罪分子擁抱生成式人工智慧,那麼網路防禦者也會擁抱生成式人工智慧,他們將使用相同或更先進的工具來測試軟體和網路安全的進步。這就是為什麼人工智慧最終不太可能從根本上改變攻擊格局”。
深度造假的興起
網路犯罪分子將會發展越來越多的聲音深度偽造卡巴斯基預言,這是為了策劃他們的攻擊。這些錄音旨在模仿名人或親人等人的聲音,以便讓他們說出任何話。這家俄羅斯公司認為,語音克隆是主要威脅之一。例如,駭客可以複製您的一位朋友、父母或生活伴侶的聲音,以說服您透過電話洩露銀行詳細資訊等機密資料。電腦安全專家將這種類型的攻擊稱為「電話釣魚」。
“詐騙者假裝是一家信譽良好的公司或組織,甚至是同事(或某人的老闆)給您打電話,並試圖讓您做一些他們可以從中獲利的事情”,明確的 WatchGuard 技術。
對於 WatchGuard Technologies 來說,我們還必須預期 2024 年語音網路釣魚攻擊將會增加。“與毫無戒心的受害者進行對話”。 Deepfakes,音頻或視頻,也可用於冒充政治人物麥克菲補充道,目的是影響選舉或騷擾網路使用者。美國公司認為“這些虛假圖像的日益嚴重可能會對兒童及其家人造成重大和持久的傷害,損害他們的隱私、身份和福祉”。
二維碼日益增長的危險
自 COVID-19 危機以來,QR 圖碼已經在我們的生活中無所不在。現在我們幾乎到處都可以找到它們,在酒吧、餐廳或廣告海報上。一旦使用智慧型手機相機進行掃描,它們就可以存取該機構的地圖或提供其他資訊。不出所料,海盜們很快就利用了這一新礦脈。事實上,他們創建了直接轉發到網路釣魚網站或病毒下載頁面的二維碼。這種類型的攻擊稱為“quishing”。它允許您強制目標訪問網站,而無需先查詢 URL 位址。
“對於攻擊者來說,二維碼是危險而奇妙的混淆工具”,WatchGuard 警告說,它預計“重大漏洞或引人注目的駭客攻擊始於受害者掃描二維碼 - 導致他們意外訪問惡意目的地”。
在這裡,駭客再次可以依靠人工智慧來促進他們的犯罪行為。根據麥克菲研究人員的調查,詐騙者確實可以使用人工智慧“生成程式碼,掃描後直接進入釣魚網站或觸發惡意軟體下載”。
網路釣魚、電影、電玩遊戲和 GTA VI
在過去的一年裡,駭客經常發起瀏覽電影發行日曆。例如,我們看到無數的網路詐騙和詐騙活動圍繞著發布瑪格羅比主演的電影《芭比娃娃》和克里斯多福諾蘭執導的劇情片《奧本海默》。在網路上,承諾提供帶有角色圖像的好東西或透過串流媒體訪問電影的網路釣魚頁面大量出現。
預計惡意演員將繼續乘風破浪,誘騙電影觀眾。卡巴斯基預計“詐騙案激增”瀏覽備受期待的電影,如《小丑 2》、《死侍 3》、《沙丘》續集,甚至《阿凡達 3》。“欺騙性平台會聲稱提供獨家訪問權,利用觀眾渴望觀看備受期待的電影的機會”。海盜不僅限於電影院,還應該利用備受期待的 GTA VI 的發布來吸引電玩愛好者。
駭客眼中的加密貨幣
這玩賺錢 (P2Earn)是向玩家付費的電玩遊戲。透過參與,網路用戶可以獲得數位資產,例如加密貨幣或不可替代代幣(NFT)。實體礦場P2Earn近年來已成為盜版者的大面積攻擊目標。情況是這樣的軸無限一款區塊鏈遊戲於 2022 年 3 月遭到駭客攻擊。根據卡巴斯基的調查結果,2024 年將不可避免地出現其他基於賺取數位資產的電玩遊戲遭到駭客攻擊的情況。
網路犯罪分子對 P2Earn 的吸引力是人們對加密貨幣興趣普遍復甦的一部分。對 ESET France 來說,2024 年也將標誌著“網路犯罪分子對活躍加密貨幣的興趣日益濃厚,預計價格很快就會上漲”。儘管比特幣已突破 4 萬美元大關觀察家預計,從長遠來看,加密貨幣將呈現上升趨勢。
ESET 研究人員解釋說,他們過去發現了能夠從 Google 的 Android 應用程式商店 Play 商店竊取用戶數位錢包的病毒。四年前,ESET 已將一款冒充流行數位錢包 Metamask 的惡意應用程式固定在該平台上。明年,新一波惡意軟體旨在竊取加密資產因此應該席捲整個生態系。
「這個生態系統中的參與者特別有針對性,既是為了他們的內部資源,也是為了充當到達其他目標的特洛伊木馬(所謂的供應鏈攻擊)。用戶也經常成為目標,”ESET 網路安全專家 Benoit Grunemwald 指出。
同時,生態系統中的主要參與者應該再次發現自己成為駭客的攻擊目標。最近使用的一個工具法國巨頭Ledger也被攻陷,預計對用戶造成 6 億美元的損失。原始碼可在線上存取的去中心化金融服務也將繼續成為目標…
