近年來網路詐騙已不再是簡單的釣魚郵件,而是演變成由跨國犯罪組織主導的精密工程。根據 Google Trust & Safety 團隊的最新觀察,詐騙者正利用 AI、雲端基礎設施與社會工程學,開發出能繞過傳統安全防線的攻擊手段。對於工程師而言,理解這些攻擊的底層邏輯,才能在開發產品或建議用戶時,建立更強韌的防禦體系。
以下將這波最新的詐騙趨勢拆解為四個核心技術維度進行分析。
中間人攻擊的進化與認證繞過
傳統的釣魚網站僅是模仿外觀來騙取密碼,但現在主流的攻擊方式已演進為 Adversary-in-the-Middle (AITM),即中間人攻擊。
AITM 的核心在於它不再只是靜態頁面,而是一個即時的代理伺服器。當使用者在偽造頁面輸入帳號密碼時,攻擊者會將這些資訊即時轉發給真正的登入伺服器。最危險的是,當伺服器回傳多因素認證 (MFA) 要求時,AITM 也能將其轉發給使用者,並在使用者完成驗證後,直接攔截並盜取 Session Cookie(會話 Cookie)。這意味著攻擊者可以直接接管已登入的會話,完全繞過 MFA 的保護。
此外,詐騙者開始利用信譽良好的雲端服務來規避安全掃描,這被稱為 Reputation Bypass(信譽繞過)。例如,他們將惡意指令隱藏在 Google 文件或日曆邀請中,因為安全過濾器通常信任來自 Google 官方域名的流量,導致這些惡意內容能輕易進入使用者的視線。
針對此類威脅,業界正推動 DBSC (Device Bound Session Credentials),將會話憑證與特定硬體設備綁定,使盜取的 Cookie 在其他設備上失效。
AI 驅動的加密貨幣詐騙與代碼陷阱
加密貨幣詐騙正從單純的投資誘導,轉向技術層面的陷阱。一種常見的手段是提供所謂的節點搭建教學或自動化交易 Bot 腳本。
詐騙者會誘導使用者將一段看似專業的指令碼直接複製並貼上到電腦的 Terminal(終端機)執行。這些代碼通常包含混淆處理,其真實目的是在後台執行錢包私鑰的掃描與轉移,一旦執行,使用者的加密貨幣會被瞬間清空。
Google 目前主要透過預測分析 (Predictive Analytics) 來識別廣告中的異常模式,並利用不實聲明政策封禁承諾高額回報的廣告。但對開發者而言,最重要的教育是提醒使用者:絕對不要執行來源不明的終端機指令。
行動端 App 的權限劫持與延遲激活
隨著應用程式商店的審核機制日益嚴格,惡意 App 採取了 Versioning(版本演進)策略來規避審查。
攻擊者會先提交一個功能正常、看似無害的工具 App 通過審核並上架。待使用者安裝後,再透過後續的版本更新,將惡意功能注入。這些 App 通常會請求過高的權限,例如存取聯絡人、簡訊紀錄與相簿,甚至利用 Android 的 Accessibility Services(輔助功能服務)來監控螢幕操作或自動點擊。
一旦獲取數據,詐騙者會利用這些私密資訊對使用者進行敲詐。Google 目前的對策是加強對 Dormant Permissions(休眠權限)的偵測,即監控那些安裝後長時間未用、突然被激活的權限行為。
社會工程學與數位逮捕
這是一種結合了身份冒充與心理壓力的複合式攻擊。詐騙者會大量註冊極其相似的政府官方電子郵件,並利用第三方通訊軟體接觸目標。
其最極端的手段被稱為 Digital Arrest(數位逮捕),詐騙者透過視訊通話,利用偽造的政府標誌與強勢的語氣,讓受害者相信自己涉及金融犯罪,被處於數位監控狀態,進而要求支付法律費用或提供銀行憑證。
為了對抗這種身份冒充,Google 引入了開發者身份驗證機制,要求 App 開發者提供真實姓名與地址,即使是透過 Sideloading(側載,即不經商店直接安裝 APK)的應用程式,也能增加開發者的可追溯性,減少匿名作惡的空間。
總結與防禦建議
面對不斷演進的威脅,單靠技術封鎖是不夠的。身為技術人員,我們應推動以下實務:
第一,推動 FIDO2 等抗釣魚的硬體認證,取代傳統的 SMS 或 App 推送 MFA,以對抗 AITM 攻擊。 第二,在產品設計中,對高風險權限的請求採取最小權限原則,並在權限長時間未使用後提醒使用者撤銷。 第三,教育使用者建立數位衛生習慣:不隨意掃描陌生 QR Code、不執行不明指令碼、不信任非官方渠道的政府通知。
來源:blog.google (Our latest fraud and scams advisory)
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。