旅客遭AI网钓和充电陷阱双重威胁

根据《Decrypt》报导，随著暑期旅游旺季的到来，旅行者们纷纷踏上旅途，网路犯罪分子正转向新技术来实施诈骗和窃取数据，利用包括以 AI 编写的钓鱼信件和恶意配置的手机充电座等手法诱使旅客落入圈套。

网路钓鱼数量在生成式 AI 工具推出后急遽增加

根据网路安全公司 SlashNext 最近发布的一份报告，电子邮件钓鱼攻击的数量在过去一年中增加了 856%，这种急遽增长部分是由生成式 AI 所推动的，该技术让诈骗者能同时以多种语言编写钓鱼邮件，这使得恶意邮件的数量从 2022 年 OpenAI 的 ChatGPT 推出以来增加了 4151%。

SlashNext 执行长 Patrick Harr 在接受 Decrypt 采访时表示：

「威胁行为者可以提示 AI 以任何语言迅速地编写电子邮件，而且几乎没有成本。你会看到这些（网路钓鱼信件）不仅仅只有英文——可以用多种语言编写并针对世界不同地区的人群，而且可以在几秒钟内完成。」

网路钓鱼攻击涉及向缺乏戒心的受害者发送讯息，使其点击连结并连接到恶意网站或应用程式，诱使用户提交个人资讯或安全资讯，像是密码。今年 1 月，网路犯罪份子在骇入电子邮件服务供应商 MailerLite 后，以加密平台用户的电子邮件为目标进行钓鱼攻击，诈骗金额达到 70 多万美元。

《国际财经时报》最近发布的一篇报导强调了针对商务和休闲旅客的网路钓鱼攻击的急剧增加，这些攻击包括在虚假网站上发布假讯息并提供大幅折扣，例如，在其他网站上标示每晚 1000 美元的瑞士阿尔卑斯山住宿价格，诈骗网站却以每晚 200 美元的价格优惠来诱使用户上钩。

订房网站 Booking.com 的资安长 Marnie Wilking 受访表示，网路钓鱼行为在 ChatGPT 推出后不久就开始增加，诈骗者现在可以借助生成式 AI 工具，以多种语言并具备良好的语法来编写诈骗信件，甚至饭店业者也可能因为了解决客户问题而误开诈骗信中属于恶意软体的附件。

Wilking 建议旅客和旅宿业者使用双因子认证（Two-factor authentication）来确保安全，并且不要点击任何看起来可疑的东西，即使只有一点点怀疑，也要洽询饭店、业主和客服单位。

简讯网路钓鱼

SlashNext 的 Harr 表示，较新的网路钓鱼形式「简讯网路钓鱼」（smishing）是一种日益流行和危险的攻击手法。这种钓鱼攻击透过在简讯服务中附带虚假连结来攻击手机用户。

Harr 还表示，企业在新冠疫情大流行期间开始使用 QR 图码，而现在诈骗者也开始利用这些无处不在的条码。他引用 Verizon 最近的一份报告说道：

「80% 的手机实际上没有防范网路钓鱼的保护措施。因此，这就是他们利用 QR codes 的原因——试图让你为某些东西付费、泄露关于你的敏感资讯或窃取你的密码。」

充电陷阱

尽管网路钓鱼攻击仍然是网路犯罪分子最常使用的攻击媒介，但美国联邦通讯委员会（FCC）最近发出了关于「充电陷阱」（Juice jacking）的警告，这种攻击方式通常针对在机场和饭店为设备充电的旅客。

充电陷阱攻击者利用的是在通用 USB 标准中内建的技术，其不仅能传输电力，还能传输资料。恶意配置的 USB 连接埠或接头可能会在插入受害者的设备后窃取资讯或安装不需要的软体。

FCC 建议避免使用机场、饭店或购物中心的免费充电座来防范这种新兴的攻击类型，应使用插入基本电源插座的个人充电器、使用可携式电池，或者使用资料阻断器来确保 USB 连接仅限于电力传输。

相关文章：
《北韩骇客的 AI 诈骗术：利用 ChatGPT 提升网路攻击复杂度》
《2024 虚拟货币诈骗手法大公开！一文带你破解虚拟货币诈骗》