近期，一种结合政府ID网络钓鱼和面部识别视频捕捉的新型网络攻击手段出现，引发安全担忧。攻击者通过伪造的紧急身份验证邮件诱导受害者点击恶意链接，进入虚假验证码页面，进而要求上传政府颁发的身份证件。最终，受害者会被引导进行“自拍检查”，从而被窃取生物识别数据。这种攻击手段将传统身份盗窃与生物识别数据捕获相结合，获取高度敏感的信息，并可能被用于进一步的恶意活动。报告强调了识别网络钓鱼手段的重要性，建议用户提高警惕，避免点击可疑链接，保护个人信息安全。

🤔 **攻击流程：**攻击始于伪造的紧急身份验证邮件，诱导用户点击恶意链接，进入虚假验证码页面，继而要求上传政府ID，最后引导用户进行“自拍检查”窃取生物识别数据。

⚠️ **生物识别数据窃取：**这种攻击手段将传统身份盗窃与生物识别数据捕获相结合，获取高度敏感信息，例如面部特征等，这些信息难以更改或撤销。

🔎 **网络钓鱼识别：**报告强调识别网络钓鱼攻击的重要性，例如通用问候语、可疑链接、电子邮件中的语法错误等，用户应提高警惕并批判性思考不寻常的个人信息请求。

💡 **AI技术风险：**人工智能技术进步也带来风险，犯罪分子可利用AI技术进一步操纵和利用窃取的生物识别数据，加剧网络安全威胁。

🛡️ **保护个人信息：**报告建议用户在日益数字化的世界中，识别电子邮件中的红色信号，避免身份盗窃，保护个人信息安全。

来自 Cofense 网络钓鱼防御中心的 Harsh Patel 和 Brandon Cook 最近的一份报告强调了一种危险的新策略，该策略旨在通过将政府 ID 网络钓鱼与面部识别视频捕捉相结合来利用在线用户。这种复杂的攻击不仅危及个人安全，还破坏了公众对我们日常依赖的数字基础设施的信任。网络钓鱼计划以一封声称需要紧急身份验证以保证账户连续性的电子邮件开始。帕特尔和库克称，“失去功能或服务访问权是引诱用户提交信息的常用方法”。这就造成了一种紧迫感，导致受害者在没有仔细检查其真实性的情况下点击恶意链接。电子邮件正文 | 图片： Cofense受害者一旦点击链接，就会看到一个看似合法的验证码页面，目的是降低怀疑。正如帕特尔和库克所描述的，“这种验证码式页面并不常见，因此是一种有趣的欺骗手段”。添加的保证文字，如 “不必害怕–这是安全可靠的”，进一步操纵受害者信任这一过程。验证码之后，用户会被引导到一个虚假身份验证页面，在那里他们被要求上传政府颁发的身份证件。这个页面的设计虽然简单，但却有欺诈的迹象，包括不相关的域名和含糊不清的信息。国家和文件类型 | 图片： Cofense这种攻击的最后一步是窃取生物识别数据。用户被指示进行 “自拍检查”，模仿合法的面部识别系统。“开始录制 ”按钮的加入标志着向更复杂的网络钓鱼技术的转变。帕特尔和库克警告说：“通过恶意网站复制或欺骗生物识别数据的可能性引发了更大的担忧。”这种方法代表了网络钓鱼攻击的危险演变。通过将传统的身份盗窃技术与生物识别数据捕获相结合，网络犯罪分子获得了难以更改或撤销的高度敏感信息。报告强调了人工智能技术的进步所带来的风险，犯罪分子可以利用人工智能技术进一步操纵和利用窃取的生物识别数据。报告强调了识别网络钓鱼红旗的重要性。其中包括通用问候语、可疑链接和电子邮件中的语法错误。报告还强调了在面对不寻常的个人信息请求时进行批判性思考的必要性。正如帕特尔和库克所指出的，“识别电子邮件中的红色信号……有助于在日益数字化的世界中防止身份盗窃和保护个人信息。”