FBI报告2.62亿美元ATO欺诈,研究人员指出AI钓鱼和假日诈骗激增
美国联邦调查局(FBI)警告称,网络犯罪分子正在冒充金融机构,旨在窃取资金或敏感信息以实施账户接管(ATO)欺诈计划。
该机构表示,此类活动针对不同规模和跨行业的个人、企业和组织,并补充说自年初以来这些欺诈计划已导致超过2.62亿美元的损失。FBI称已收到超过5100起投诉。
ATO欺诈通常指使威胁行为者能够未经授权访问在线金融机构、工资系统或健康储蓄账户的攻击,以转移数据和资金谋取私利。访问权限通常通过社会工程技术获得,例如利用用户恐惧心理的短信、电话和电子邮件,或通过虚假网站。
这些方法使攻击者能够欺骗用户在钓鱼网站上提供登录凭证,在某些情况下,敦促他们点击链接报告据称在其账户上记录的欺诈交易。
FBI表示:“网络犯罪分子通过冒充金融机构员工、客户支持或技术支持人员,操纵账户所有者交出他们的登录凭证,包括多因素认证(MFA)代码或一次性密码(OTP)。然后,网络犯罪分子使用这些登录凭证登录合法的金融机构网站并启动密码重置,最终获得对账户的完全控制。”
其他案例涉及威胁行为者冒充金融机构联系账户所有者,声称他们的信息被用于进行欺诈性购买(包括枪支),然后说服他们将账户信息提供给冒充执法的第二名网络犯罪分子。
FBI称,ATO欺诈还可能涉及使用搜索引擎优化(SEO)投毒,欺骗在搜索引擎上寻找企业的用户点击虚假链接,通过恶意搜索引擎广告重定向到仿冒网站。
无论使用何种方法,这些攻击都有一个目标:夺取账户控制权,迅速将资金电汇到其控制下的其他账户,并更改密码,有效锁定账户所有者。资金被转移到的账户进一步与加密货币钱包关联,以将其转换为数字资产并掩盖资金踪迹。
为防范此威胁,建议用户在线或在社交媒体上分享关于自己的信息时要小心,定期监控账户是否有任何财务异常,使用独特复杂的密码,在登录前确保银行网站的URL正确,并对网络钓鱼攻击或可疑来电保持警惕。
FBI表示:“通过公开分享如宠物名字、就读学校、出生日期或家庭成员信息等信息,您可能会向诈骗者提供他们猜测密码或回答安全问题时所需的信息。”
Saviynt首席信任官Jim Routh在声明中表示:“FBI公告中提到的大多数ATO账户是通过威胁行为者使用的被盗凭证发生的,这些行为者非常熟悉金融机构内部资金转移的流程和工作流程。预防这些攻击的最有效控制措施是手动(电话验证)和短信批准。根本原因仍然是尽管有无密码选项可用,但云账户凭证的使用仍被接受。”
这一进展正值Darktrace、Flashpoint、Forcepoint、Fortinet和Zimperium在假日季前强调主要网络安全威胁,包括黑色星期五诈骗、二维码欺诈、礼品卡盗刷以及模仿亚马逊和Temu等流行品牌的大规模钓鱼活动。
其中许多活动利用人工智能(AI)工具生成极具说服力的钓鱼电子邮件、虚假网站和社交媒体广告,即使技能低下的攻击者也能实施看似可信的攻击,并提高其活动成功率。
Fortinet FortiGuard实验室表示,在过去三个月中检测到至少750个恶意的假日主题域名被注册,其中许多使用“圣诞节”、“黑色星期五”和“闪购”等关键词。该公司称:“在过去三个月中,地下市场收集了超过157万个与主要电商网站相关的登录账户,这些账户通过窃取程序日志获得。”
攻击者还被发现积极利用Adobe/Magento、Oracle电子商务套件、WooCommerce、Bagisto和其他常见电商平台的安全漏洞。一些被利用的漏洞包括CVE-2025-54236、CVE-2025-61882和CVE-2025-47569。
根据Zimperium zLabs的数据,移动钓鱼(又称mishing)网站增加了4倍,攻击者利用受信任的品牌名称制造紧迫感,欺骗用户点击、登录或下载恶意更新。
此外,Recorded Future已呼吁关注购买诈骗,其中威胁行为者使用虚假电商商店窃取受害者数据并授权对不存在的商品和服务进行欺诈支付。它将这些诈骗描述为“主要的新兴欺诈威胁”。
据该网络安全公司称,这些诈骗操作在多阶段攻击漏斗中工作,使用流量分发系统(TDS)针对特定受害者,以确定他们是否合适,并启动重定向链引导他们到最终阶段,在那里进行受害者授权的交易。
这种诈骗的主要优势是支付由受害者自己授权,为操作者提供即时财务收益。相比之下,其他欺诈攻击向量需要大量时间和资源投资才能兑现被盗数据。部分购买诈骗还被发现使用交易恢复服务尝试两次连续的欺诈交易,从而对卡片信息进行双重变现。
该公司表示:“复杂的暗网生态系统允许威胁行为者快速建立新的购买诈骗基础设施并扩大其影响。模仿传统营销的推广活动——包括在暗网卡片商店PP24上出售被盗卡片数据的提议——在这个地下世界中广泛存在。威胁行为者使用被盗支付卡片资助广告活动以传播购买诈骗,这反过来又危及更多支付卡片数据,助长了持续的欺诈循环。”