下面说明了这三种网络钓鱼方式的区别:
- 语音钓鱼:通过电话诱使受害者交出敏感信息
- 网络钓鱼:通过邮件诱使受害者点击链接从而转至虚假网站或下载恶意软件
- 短信钓鱼:通过短信诱使受害者点击恶意链接或访问伪造网站
语音钓鱼邮件是如何躲过检测的?
并非所有语音钓鱼攻击都从电话开始。许多攻击者利用精心设计的邮件伪装成权威实体或可信实体开始行骗。然后,他们会通过电话来说服邮件收件人满足他们的要求。如果语音钓鱼攻击使用网络钓鱼邮件开始,那它是如何规避邮件安全过滤功能的?可能有三种原因:
- 邮件中没有链接:安全系统能够轻松标记包含恶意链接的邮件。但语音钓鱼邮件通常诱使收件人打电话,无需在邮件中包含能够被常规安全工具识别出的链接。邮件内容强调让收件人拨打电话,而不包含网络钓鱼中常见的传统可点击链接或按钮。
- 邮件来自于所谓的“真实发件人”:如果假冒的邮件账户来自于个人邮件地址(如 Gmail 账户),就能绕过基于域的邮件身份验证报告 (DMARC)、发件人策略框架 (SPF) 或域名密钥识别邮件 (DKIM) 等身份验证筛选机制。
- 邮件安全工具失效:如果邮件安全绕过了前两种过滤机制,可能会被基础邮件安全系统归入低风险类别并发送至收件人的收件箱。要缓解这一常见问题,可以采用功能完善的邮件安全软件来专门检测网络钓鱼企图、商业邮件诈骗和勒索软件并实施补救措施。
电话号码与 URL 不同,无法以常规方式进行跟踪并作为感染指标 (IOC) 在网络安全社区公布。缺乏针对电话号码的检测机制,这增加了语音钓鱼活动绕过传统邮件安全检查的可能性。
语音钓鱼示例
随着技术的进步,常见语音钓鱼诈骗不断翻新花样,令人真伪难辨。这些诈骗模仿真实企业和场景,利用人的信任和紧迫心理,对组织造成了严重后果。
以下是常见语音钓鱼攻击的几个示例:
国税局税务诈骗
国税局语音钓鱼诈骗通常是播放一段预先录制的语音消息,声称您的退税有问题,催促您通过提供的电话号码直接联系国税局。这些消息通常采取威胁的语气,警告说如果不打电话,就会对您发出逮捕令。
冒充国税局是犯罪分子在邮件和语音诈骗中的惯用手段。国税局的名号让受害者即刻信任来电者并感到恐慌,迫使他们很快按要求照做而丝毫不怀疑这一要求的真伪。
技术支持攻击
在技术支持语音钓鱼诈骗中,欺诈者冒充技术公司(如 Apple、Microsoft 和 Google)的代表,声称您的在线账户存在可疑活动。他们通常要求您提供邮件地址以向您发送重要软件更新,而这些更新实际上是感染了恶意软件的下载文件。
技术支持诈骗利用受害者可能缺乏技术知识这一点。这些诈骗者采用恐吓手段,声称存在严重的安全威胁或技术问题,让受害者感到恐惧和紧迫。他们可能即刻提供解决方案,实际是借此远程访问受害者计算机。如果获得了访问权限,攻击者就能窃取个人或企业数据、安装恶意软件或损害整个系统。
冒充银行诈骗
冒充银行诈骗是指诈骗者冒充信用卡公司、银行及其他金融机构,以达到未经授权访问您的账户的目的。他们声称您的账户存在异常或可疑活动,打着解决问题的幌子要求您验证账户信息和登录凭证。
如果您直接致电金融机构,对方可能要求您提供机密信息来验证您的身份。不过,合法金融机构绝对不会主动致电来要求您提供密码或安全码。
社保或医保诈骗
老年人常常是犯罪分子的目标,因为他们不太熟悉现代网络钓鱼的手段。在此类诈骗中,犯罪分子伪装成社保或医保机构官员并声称要签发新社保号或讨论相关福利,以此套取敏感账户信息。与邮件和短信相比,老年群体往往更常使用电话通信方式,因此更容易遭受语音钓鱼而不是网络钓鱼或短信钓鱼攻击。
如果您认为自己的一些亲朋好友容易遇到此类诈骗,一定要告诉他们,国税局、社保局或医保机构绝不会主动来电要求提供个人信息或发出威胁。合法政府机构不会通过电话、邮件、短信或社交媒体联系市民来要求市民提供个人或财务信息。
快递诈骗
网络购物盛行已久,许多个人和企业难以跟踪其所购商品,犯罪分子会利用这一漏洞实施诈骗。诈骗者伪装成 Amazon 或 UPS 代表,向客户假称发生了运输问题,并提供联系电话让客户查询这些虚构订单。
当毫无戒心的客户拨出电话时,诈骗者伪装成客服人员接听电话并做好准备套出来电者的个人信息。随着 Amazon 会员日等活动日益盛行,而且网购逐渐成为主流购物方式,消费者一定要注意此类快递诈骗。
贷款和投资诈骗
在遇到任何所谓低风险、高回报的投资机会或者声称放款速度极快的贷款时,务必要极度谨慎。如果条件好得令人难以置信,通常不是真的。
下面提供了防范此类贷款和投资诈骗的重要提示:
- 询问风险和相关成本
- 拒绝强行推销或急迫销售手段
- 坚持索要书面详情,而后自行开展调查
- 不要仅仅因为来电者的名头或可信度而投入资金
- 验证投资和发起人的注册情况
- 不要相信任何声称完全无风险或保证高回报的投资;这些都属于危险信号,因为真正的投资从来都是有风险的
语音克隆语音钓鱼诈骗
语音克隆技术使用人工智能来制作能够以假乱真的音频或视频片段。犯罪分子现在利用此类 AI 工具模仿目标的家属或信任之人的声音。例如,他们会模仿公司首席执行官的语音来要求员工执行大额转账。低级别员工可能会由于以假乱真的语音而认为来电是真的,出于紧迫感和对公司领导的尊重,按照要求照做。
语音克隆技术越来越先进和普及,此类诈骗的风险也随之增加,因此迫切需要采用更可靠的安全协议并提高警惕性,即使来电者的声音非常熟悉也需要保持警惕。