有安全研究機(jī)構(gòu)發(fā)現(xiàn)了一個(gè)名為“GXC Team”的網(wǎng)絡(luò)犯罪團(tuán)伙，該團(tuán)伙專門制作用于網(wǎng)上銀行盜竊、電子商務(wù)欺詐和網(wǎng)絡(luò)詐騙的工具。2023 年 11 月，該團(tuán)伙的頭目以“googleXcoder”的別名在暗網(wǎng)上發(fā)布了多條公告，宣布在暗網(wǎng)上出售的產(chǎn)品最高可享受 20% 的折扣。

這些帖子中向大家介紹了一種新工具，該工具結(jié)合了人工智能 (AI)，可用于創(chuàng)建用于電信欺詐和商業(yè)電子郵件欺詐 (BEC) 的虛假發(fā)票。

據(jù)報(bào)告，成功的商業(yè)電子郵件欺詐 (BEC) 詐騙（例如發(fā)票欺詐）平均每起事件可造成超過(guò) 12 萬(wàn)美元的損失，給企業(yè)造成了超過(guò) 24 億美元的驚人財(cái)務(wù)損失。

毫無(wú)疑問(wèn)，網(wǎng)絡(luò)犯罪分子已經(jīng)認(rèn)識(shí)到人工智能在增強(qiáng)和擴(kuò)展其業(yè)務(wù)方面的巨大潛力。但人工智能為他們提供了哪些具體優(yōu)勢(shì)？

利用大型語(yǔ)言模型 (LLM) 的人工智能驅(qū)動(dòng)平臺(tái)（如 FraudGPT 和 WormGPT）的出現(xiàn)改變了游戲規(guī)則。這些框架可以創(chuàng)建復(fù)雜而精密的商業(yè)電子郵件入侵 (BEC) 活動(dòng)，生成用于洗錢計(jì)劃的垃圾郵件內(nèi)容，并提供預(yù)制的惡意策略和工具。

就在 2024 年開(kāi)始之前，即 12 月 30 日，他們推出了其 AI 工具的更新版本，名為“Business Invoice Swapper”。

此次更新已通過(guò)“GXC 團(tuán)隊(duì)”的官方 Telegram 頻道發(fā)布。該工具以租賃方式提供，訂閱計(jì)劃起價(jià)為每周 2,000 美元，或者一次性支付 15,000 美元即可無(wú)限制使用。

要使該工具發(fā)揮作用，操作員必須輸入要掃描的受感染電子郵件帳戶列表。這涉及在文檔中指定憑證以及用于“交換”或欺騙過(guò)程的 IBAN 和 BIC 代碼。值得注意的是，大多數(shù)已識(shí)別的受害者帳戶主要來(lái)自英國(guó)和各個(gè)歐盟國(guó)家，包括但不限于西班牙、法國(guó)、波蘭、意大利、德國(guó)、瑞士等。

該工具采用專有檢測(cè)算法，通過(guò) POP3/IMAP4 協(xié)議仔細(xì)檢查受感染的電子郵件，識(shí)別提及發(fā)票或包含付款詳細(xì)信息附件的郵件。檢測(cè)到后，它會(huì)將預(yù)期收件人（如受害者的供應(yīng)商）的銀行信息更改為犯罪者指定的詳細(xì)信息。然后，更改后的發(fā)票要么替換原始郵件，要么發(fā)送給預(yù)定的聯(lián)系人列表。這些方法通常用于電信欺詐和眾所周知的虛假發(fā)票詐騙。

通常，受害公司的會(huì)計(jì)和員工不會(huì)徹底檢查看似熟悉或幾乎真實(shí)的發(fā)票，從而導(dǎo)致有未經(jīng)核實(shí)的付款出現(xiàn)。該工具的多語(yǔ)言功能允許自動(dòng)掃描消息而無(wú)需任何人工干預(yù)，提供了顯著的優(yōu)勢(shì)和規(guī)模。在這種情況下，該工具的創(chuàng)建者有效地利用人工智能來(lái)完成一項(xiàng)專門的任務(wù)——識(shí)別包含付款詳細(xì)信息的發(fā)票。此外，該工具還配備了多語(yǔ)言支持，使其能夠處理和理解各種語(yǔ)言的數(shù)據(jù)，這是處理以不同語(yǔ)言編寫的發(fā)票的關(guān)鍵功能。

此前，“GXC 團(tuán)隊(duì)”因創(chuàng)建各種在線欺詐工具而聲名狼藉，這些工具包括從受感染的支付數(shù)據(jù)檢查器到復(fù)雜的網(wǎng)絡(luò)釣魚和短信釣魚工具包。他們被認(rèn)為是這一非法領(lǐng)域的主謀，為網(wǎng)絡(luò)犯罪分子提供一套現(xiàn)成的工具，旨在欺騙全球消費(fèi)者。此外，他們還提供持續(xù)的更新和技術(shù)支持以進(jìn)行欺詐。

目前，“GXC 團(tuán)隊(duì)”開(kāi)發(fā)的工具能夠針對(duì) 300 多個(gè)實(shí)體，包括頂級(jí)金融機(jī)構(gòu)、政府服務(wù)、郵政服務(wù)、加密貨幣平臺(tái)、支付網(wǎng)絡(luò)和主要國(guó)際在線市場(chǎng)，包括 AMEX、亞馬遜、幣安、Coinbase、Office 365（微軟）、PayPal、ING、德意志銀行、郵政銀行、DKB AG（Das kann Bank）、BBBank eG（前身為 Badische Beamtenbank）和多家西班牙銀行，具體包括 ABANCA、Banca March、Banco de Sabadell、Grupo Caja Rural、Unicaja Banco SA、Caixa Enginyers、Banco Mediolanum、Laboral Kutxa、Eurocaja Dynamic、BBVA 和 Santander。

除了利用人工智能來(lái)擴(kuò)大運(yùn)營(yíng)范圍外，犯罪者還采取了一種新方法——繞過(guò)雙因素身份驗(yàn)證 (2FA)，即制作模仿官方手機(jī)銀行應(yīng)用程序的惡意 Android 代碼。受害者被誘騙安裝這個(gè)假應(yīng)用程序，并被要求確認(rèn)他們的 OTP（一次性密碼），然后該密碼會(huì)被攔截并傳輸?shù)焦粽吖芾淼拿钆c控制 (C2C) 服務(wù)器。

網(wǎng)上銀行系統(tǒng)所需的登錄憑據(jù)之前是通過(guò)網(wǎng)絡(luò)釣魚工具包獲取的。一旦 OTP 被攔截，惡意分子就可以訪問(wèn)受害者的銀行賬戶，利用地理相關(guān)的住宅代理來(lái)促進(jìn)未經(jīng)授權(quán)的訪問(wèn)。

“GXC 團(tuán)隊(duì)”還創(chuàng)建了多個(gè)工具包，旨在通過(guò)虛假的政府網(wǎng)站竊取澳大利亞和西班牙公民的身份信息。在澳大利亞，攻擊者冒充“my.gov.au”門戶網(wǎng)站，誘騙受害者提供個(gè)人信息，然后惡意收集這些信息。他們通過(guò)欺騙性在線手段竊取身份信息和并利用人們毫無(wú)戒心這一條件進(jìn)行欺詐。

在西班牙的案例中，“GXC 團(tuán)隊(duì)”創(chuàng)建了一個(gè)冒充 GOB.ES 網(wǎng)站的偽造登陸頁(yè)面。這個(gè)虛假頁(yè)面聲稱支持通過(guò)多家銀行付款，其目的是通過(guò)呈現(xiàn)看似來(lái)自政府官方網(wǎng)站的內(nèi)容來(lái)贏得受害者的信任。這種方法被用來(lái)欺騙個(gè)人與惡意行為者分享敏感信息。

人工智能在網(wǎng)絡(luò)犯罪中的應(yīng)用并不是一個(gè)全新的概念。已被用于各種惡意目的，例如垃圾郵件，其中神經(jīng)網(wǎng)絡(luò)被用來(lái)逃避反垃圾郵件過(guò)濾器，通常通過(guò)馬爾可夫鏈等方法。此外，人工智能還被用于黑市 SEO 等領(lǐng)域，高級(jí)參與者使用神經(jīng)網(wǎng)絡(luò)來(lái)創(chuàng)建欺騙性網(wǎng)絡(luò)內(nèi)容。

根據(jù)評(píng)估，人工智能在網(wǎng)絡(luò)犯罪活動(dòng)中市場(chǎng)前景較大的應(yīng)用領(lǐng)域包括：

·為惡意和欺詐目的而生成內(nèi)容，目的是優(yōu)化人力資源和擴(kuò)大運(yùn)營(yíng)規(guī)模。

·通過(guò)文本處理和文檔分析識(shí)別特定對(duì)象和目標(biāo)。

·網(wǎng)絡(luò)犯罪行動(dòng)的決策和自動(dòng)化。

·利用人工智能驅(qū)動(dòng)的機(jī)器人進(jìn)行先進(jìn)的社會(huì)工程技術(shù)。

·分析和評(píng)分潛在受害者，研究他們的行為，并發(fā)現(xiàn)更有效的定位和利用模式。

·繞過(guò)反欺詐過(guò)濾器和網(wǎng)絡(luò)安全控制（例如使用 Deep Fakes 和 AI 生成的工件）。

·影響和干擾活動(dòng)，其中 AI 將用于情感分析、定位活動(dòng)和與受眾的實(shí)際互動(dòng)（例如在社交媒體網(wǎng)絡(luò)和替代數(shù)字渠道中）。

這些觀察突出了 AI 在網(wǎng)絡(luò)犯罪中不斷發(fā)展和擴(kuò)大的作用，對(duì)網(wǎng)絡(luò)安全工作構(gòu)成了重大挑戰(zhàn)。