信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

有安全研究機構(gòu)發(fā)現(xiàn)了一個名為“GXC Team”的網(wǎng)絡犯罪團伙，該團伙專門制作用于網(wǎng)上銀行盜竊、電子商務欺詐和網(wǎng)絡詐騙的工具。2023年11月，該團伙的頭目以“googleXcoder”的別名在暗網(wǎng)上發(fā)布了多條公告，宣布在暗網(wǎng)上出售的產(chǎn)品最高可享受20%的折扣。

這些帖子中向大家介紹了一種新工具，該工具結(jié)合了人工智能(AI)，可用于創(chuàng)建用于電信欺詐和商業(yè)電子郵件欺詐(BEC)的虛假發(fā)票。

據(jù)報告，成功的商業(yè)電子郵件欺詐(BEC)詐騙（例如發(fā)票欺詐）平均每起事件可造成超過12萬美元的損失，給企業(yè)造成了超過24億美元的驚人財務損失。

毫無疑問，網(wǎng)絡犯罪分子已經(jīng)認識到人工智能在增強和擴展其業(yè)務方面的巨大潛力。但人工智能為他們提供了哪些具體優(yōu)勢？

利用大型語言模型(LLM)的人工智能驅(qū)動平臺（如FraudGPT和WormGPT）的出現(xiàn)改變了游戲規(guī)則。這些框架可以創(chuàng)建復雜而精密的商業(yè)電子郵件入侵(BEC)活動，生成用于洗錢計劃的垃圾郵件內(nèi)容，并提供預制的惡意策略和工具。

就在2024年開始之前，即12月30日，他們推出了其AI工具的更新版本，名為“Business Invoice Swapper”。

此次更新已通過“GXC團隊”的官方Telegram頻道發(fā)布。該工具以租賃方式提供，訂閱計劃起價為每周2,000美元，或者一次性支付15,000美元即可無限制使用。

要使該工具發(fā)揮作用，操作員必須輸入要掃描的受感染電子郵件帳戶列表。這涉及在文檔中指定憑證以及用于“交換”或欺騙過程的IBAN和BIC代碼。值得注意的是，大多數(shù)已識別的受害者帳戶主要來自英國和各個歐盟國家，包括但不限于西班牙、法國、波蘭、意大利、德國、瑞士等。

該工具采用專有檢測算法，通過POP3/IMAP4協(xié)議仔細檢查受感染的電子郵件，識別提及發(fā)票或包含付款詳細信息附件的郵件。檢測到后，它會將預期收件人（如受害者的供應商）的銀行信息更改為犯罪者指定的詳細信息。然后，更改后的發(fā)票要么替換原始郵件，要么發(fā)送給預定的聯(lián)系人列表。這些方法通常用于電信欺詐和眾所周知的虛假發(fā)票詐騙。

通常，受害公司的會計和員工不會徹底檢查看似熟悉或幾乎真實的發(fā)票，從而導致有未經(jīng)核實的付款出現(xiàn)。該工具的多語言功能允許自動掃描消息而無需任何人工干預，提供了顯著的優(yōu)勢和規(guī)模。在這種情況下，該工具的創(chuàng)建者有效地利用人工智能來完成一項專門的任務——識別包含付款詳細信息的發(fā)票。此外，該工具還配備了多語言支持，使其能夠處理和理解各種語言的數(shù)據(jù)，這是處理以不同語言編寫的發(fā)票的關(guān)鍵功能。

此前，“GXC團隊”因創(chuàng)建各種在線欺詐工具而聲名狼藉，這些工具包括從受感染的支付數(shù)據(jù)檢查器到復雜的網(wǎng)絡釣魚和短信釣魚工具包。他們被認為是這一非法領域的主謀，為網(wǎng)絡犯罪分子提供一套現(xiàn)成的工具，旨在欺騙全球消費者。此外，他們還提供持續(xù)的更新和技術(shù)支持以進行欺詐。

目前，“GXC團隊”開發(fā)的工具能夠針對300多個實體，包括頂級金融機構(gòu)、政府服務、郵政服務、加密貨幣平臺、支付網(wǎng)絡和主要國際在線市場，包括AMEX、亞馬遜、幣安、Coinbase、Office 365（微軟）、PayPal、ING、德意志銀行、郵政銀行、DKB AG（Das kann Bank）、BBBank eG（前身為Badische Beamtenbank）和多家西班牙銀行，具體包括ABANCA、Banca March、Banco de Sabadell、Grupo Caja Rural、Unicaja Banco SA、Caixa Enginyers、Banco Mediolanum、Laboral Kutxa、Eurocaja Dynamic、BBVA和Santander。

除了利用人工智能來擴大運營范圍外，犯罪者還采取了一種新方法——繞過雙因素身份驗證(2FA)，即制作模仿官方手機銀行應用程序的惡意Android代碼。受害者被誘騙安裝這個假應用程序，并被要求確認他們的OTP（一次性密碼），然后該密碼會被攔截并傳輸?shù)焦粽吖芾淼拿钆c控制(C2C)服務器。

網(wǎng)上銀行系統(tǒng)所需的登錄憑據(jù)之前是通過網(wǎng)絡釣魚工具包獲取的。一旦OTP被攔截，惡意分子就可以訪問受害者的銀行賬戶，利用地理相關(guān)的住宅代理來促進未經(jīng)授權(quán)的訪問。

“GXC團隊”還創(chuàng)建了多個工具包，旨在通過虛假的政府網(wǎng)站竊取澳大利亞和西班牙公民的身份信息。在澳大利亞，攻擊者冒充“my.gov.au”門戶網(wǎng)站，誘騙受害者提供個人信息，然后惡意收集這些信息。他們通過欺騙性在線手段竊取身份信息和并利用人們毫無戒心這一條件進行欺詐。

在西班牙的案例中，“GXC團隊”創(chuàng)建了一個冒充GOB.ES網(wǎng)站的偽造登陸頁面。這個虛假頁面聲稱支持通過多家銀行付款，其目的是通過呈現(xiàn)看似來自政府官方網(wǎng)站的內(nèi)容來贏得受害者的信任。這種方法被用來欺騙個人與惡意行為者分享敏感信息。

人工智能在網(wǎng)絡犯罪中的應用并不是一個全新的概念。已被用于各種惡意目的，例如垃圾郵件，其中神經(jīng)網(wǎng)絡被用來逃避反垃圾郵件過濾器，通常通過馬爾可夫鏈等方法。此外，人工智能還被用于黑市SEO等領域，高級參與者使用神經(jīng)網(wǎng)絡來創(chuàng)建欺騙性網(wǎng)絡內(nèi)容。

根據(jù)評估，人工智能在網(wǎng)絡犯罪活動中市場前景較大的應用領域包括：

·為惡意和欺詐目的而生成內(nèi)容，目的是優(yōu)化人力資源和擴大運營規(guī)模。

·通過文本處理和文檔分析識別特定對象和目標。

·網(wǎng)絡犯罪行動的決策和自動化。

·利用人工智能驅(qū)動的機器人進行先進的社會工程技術(shù)。

·分析和評分潛在受害者，研究他們的行為，并發(fā)現(xiàn)更有效的定位和利用模式。

·繞過反欺詐過濾器和網(wǎng)絡安全控制（例如使用Deep Fakes和AI生成的工件）。

·影響和干擾活動，其中AI將用于情感分析、定位活動和與受眾的實際互動（例如在社交媒體網(wǎng)絡和替代數(shù)字渠道中）。

這些觀察突出了AI在網(wǎng)絡犯罪中不斷發(fā)展和擴大的作用，對網(wǎng)絡安全工作構(gòu)成了重大挑戰(zhàn)。