Gmail安全警报,25 亿用户面临新的人工智能黑客攻击

| 20/10/2024 | 新西兰华人每日资讯网, 每日科技 | 没有评论

2024 年 10 月 13 日:该报道最初于 10 月 11 日发布,其中包括 Google 新的反诈骗联盟计划的详细信息、有关看似合法的支持诈骗的新警告以及 Google 保护高风险帐户的高级保护计划的详细信息。

谷歌已经实施了越来越复杂的保护措施,以防有人入侵你的 Gmail 账户——但使用人工智能驱动攻击的黑客也在不断进化。根据谷歌自己的数据,目前 Gmail 服务的用户超过 25 亿。因此,它成为黑客和诈骗者的目标也就不足为奇了。以下是你需要知道的。

最新的人工智能驱动的 Gmail 攻击效果惊人
微软解决方案顾问 Sam Mitrovic 几乎成为所谓的“超逼真的人工智能诈骗电话”的受害者,他发出了警告。这种电话甚至能够欺骗最有经验的用户。

这一切都始于米特罗维奇意识到针对他的攻击有多复杂之前一周。米特罗维奇在一篇博客文章中警告其他 Gmail 用户注意这一威胁时说:“我收到了一条通知,要求我批准恢复 Gmail 帐户。”需要确认帐户恢复或密码重置是一种臭名昭著的网络钓鱼攻击方法,旨在将用户引导至虚假的登录门户,要求他们输入凭据以报告请求不是由他们发起的。

不出所料,米特罗维奇并没有上当,他忽略了似乎来自美国的通知和大约 40 分钟后来自澳大利亚悉尼的谷歌的未接电话。到目前为止,一切都相对简单,很容易避免。然后,差不多一周后,好戏才真正开始——另一条通知请求批准恢复帐户,40 分钟后又打来电话。这一次,米特罗维奇没有错过电话,而是接了起来:一个自称来自谷歌支持的美国声音确认 Gmail 帐户存在可疑活动。

“他问我是否在旅行,”米特罗维奇说,“当我说没有时,他问我是否从德国登录,我回答没有。”所有这些都是为了让打电话的人信任他,让接电话的人感到恐惧。这时,事情迅速恶化,整个网络钓鱼计划确实相当巧妙。所谓的谷歌支持人员告诉米特罗维奇,攻击者在过去 7 天内访问了他的 Gmail 帐户,并已下载了帐户数据。这敲响了警钟,米特罗维奇回想起了一周前的恢复通知和未接来电。

米特罗维奇边打电话边在谷歌上搜索他接到的电话号码,结果发现确实指向了谷歌商业页面。单凭这一点就是一种聪明的策略,很可能欺骗大量陷入恐慌的毫无戒心的用户,因为这不是谷歌支持号码,而是谷歌助手打来的电话。“在通话开始时,您会听到来电原因,以及来电来自谷歌。您可以预料到,来电来自自动系统,或者在某些情况下,来自人工操作员,” 100% 真实的页面向读者发出了有用的信息。

另一起由人工智能驱动的 Google 支持诈骗案引发对 Gmail 用户的警告
风险投资公司和创业加速器 Y Combinator 的创始人 Garry Tan 在 X(前身为 Twitter)上发出警告,提醒大家警惕另一种网络钓鱼诈骗,他称这种诈骗“非常复杂”,还利用人工智能来使自己显得可信。与差点骗过安全顾问 Sam Mitrovic 的骗局一样,最新的警告也与所谓的 Google 支持技术人员的联系有关。我不会像 X 上的一位评论者那样认为,这说明 Google 不为用户提供任何支持,但对于这些骗局来说,这并非完全正确:Google 支持不会像这样突然联系您。Tan 警告说:“不要在这个对话框中单击‘是’,否则您将被网络钓鱼。”

在针对谭的诈骗案中,所谓的谷歌支持人员声称公司收到了死亡证明,一名家庭成员正在试图恢复他的账户。换句话说,打电话的人,也只有人工智能才会这么愚蠢,正在检查接电话的人是否还活着。“这是一个非常复杂的诡计,让你允许密码恢复,”谭继续警告说,但他发现,他看到的账户恢复屏幕上有一个设备字段,显示的是谷歌支持人员的名字,而不是用于访问账户的实际设备。谭建议,无论是谁设计了恢复界面,都应该对有问题的文本字段使用一些非常基本的正则表达式检查,甚至基于人工智能的欺诈检测。“检查设备名称很简单,”他总结道。骗局的一部分是让谭重新添加他的手机号码,作为验证过程的一部分,以触发账户恢复对话框。然而,谭对此很明智:“我的 SIM 卡被调换了,所以知道永远不要在我的账户上使用我的手机,”谭解释说。

使用 Google 表单让联系方式显得合法
诈骗者还被发现滥用 Google 表单(Google Workspace 的免费在线工具)来创建看似合法的文档,作为支持诈骗的一部分发送。通过使用 Google 表单的响应收据选项将表单副本发送到目标地址,文档将通过真正的 Google 服务器发送,这增加了骗局的合法性。例如,检查电子邮件将显示它来自workspacesupport@google.com,这可以降低收件人可能存在的任何危险信号。其中一个骗局使用这种表单来模仿帐户恢复密码重置表单,告诉目标他们会收到来自指定支持代理的短信通知,并给他们要检查的号码。这种双重合法性方法足以在很多时候欺骗很多人。在这种情况下,失误是一个令人困惑的复杂且过长的密码重置过程,而且只有当接收端的人足够精明时才会意识到这一点。

从这些 Google 支持黑客事件中吸取的教训
米特罗维奇做了正确的事,或者至少是除了挂断电话之外最好的事,他要求所谓的支持人员发送一封电子邮件确认——一封电子邮件很快就到了,来自 Google 域名,看起来所有意图和目的都是真实的。此时,他注意到收件人字段包含一个巧妙伪装的地址,实际上不是 Google 域名,但可以再次轻松欺骗那些不懂技术的人。

然而,米特罗维奇真正暴露身份的是,来电者说了“你好”,没有回应后又说了“你好”。米特罗维奇说:“这时,我将其作为人工智能语音发布,因为发音和间距太完美了。”

米特罗维奇的原始博客非常值得一读,因为它包含更多技术细节和侦探工作,而我在本报告中没有篇幅来介绍这些内容。知识就是一切,这位顾问提供的威胁情报对于任何可能处于类似情况的人来说都是无价之宝:有备无患。

来源 https://www.forbes.com/sites/daveywinder/2024/10/13/new-gmail-security-alert-for-billions-as-7-day-ai-hack-confirmed/

http://pconlineshop.co.nz
Tags:

Related Posts