网络罪犯利用人工智能（AI）进行发票欺诈

Resecurity揭露了一个名为“GXC Team”的网络犯罪团伙，专门制作用于在线银行盗窃、电子商务欺诈和互联网骗局的工具。该团伙的领导者在化名“googleXcoder”下，于2023年11月11日左右在暗网上发布了多个公告。在除夕夜，该团伙宣布大幅降价，在暗网上提供产品高达20%的折扣。这些帖子介绍了一种新工具，利用人工智能（AI）创建用于电汇欺诈和商业电子邮件欺诈（BEC）的虚假发票。

根据FBI的报告，成功的商业电子邮件欺诈（例如发票欺诈）每起案件平均损失超过12万美元，给组织造成了超过24亿美元的巨大财务损失。毫无疑问，网络罪犯已经意识到AI在提升和扩大他们的操作方面的巨大潜力。但是，AI具体提供了哪些优势呢？像FraudGPT和WormGPT这样利用大型语言模型（LLM）的AI驱动平台的出现，改变了游戏规则。这些框架能够创建复杂而精密的商业电子邮件欺诈（BEC）活动，并生成用于洗钱计划中的“金库”垃圾邮件的内容，并提供预先制作的恶意策略和工具。就在2024年开始之前，即12月30日，他们发布了AI动力工具的更新版本，名为“Business Invoice Swapper”。

这个更新是通过“GXC团队”的官方Telegram频道进行广播的。该工具以租赁方式提供，订阅计划从每周2000美元起，或者可以选择一次性支付15000美元以获取无限访问权限。为使该工具正常运行，操作员必须输入要扫描的被入侵电子邮件账户列表。这涉及指定凭据，以及将用于文档中的“交换”或伪造过程的IBAN和BIC代码。值得注意的是，大多数被识别出的受害者账户主要来自英国和包括但不限于西班牙、法国、波兰、意大利、德国、瑞士等欧盟国家。该工具采用专有的检测算法，通过POP3/IMAP4协议仔细审查被入侵的电子邮件，识别出要么提到发票的消息，要么包含带有付款详细信息的附件。一旦检测到，它会改变预期收件人（如受害者的供应商）的银行信息，改为由作恶者指定的详细信息。然后，修改后的发票要么替换原始消息中的发票，要么发送给预定的联系人列表。这些方法通常用于电汇诈骗和众所周知的虚假发票欺诈。由于会计师和受害公司的员工通常不会仔细核对看似熟悉或几乎真实的发票，因此导致了未经核实的付款。该工具的多语言功能允许自动扫描消息，无需任何手动干预，为攻击者提供了重要的优势和规模。在这种情况下，该工具的创建者有效地利用了人工智能来完成专门的任务-识别包含付款详细信息的发票。此外，该工具还配备了多语言支持，使其能够处理并理解各种语言的数据，这是处理用不同语言编写的发票的关键功能。

根据Resecurity的Hunter Unit的说法，“GXC团队”以前以创建各种在线欺诈工具而出名，从受损的付款数据检查工具到复杂的网络钓鱼和短信钓鱼工具应有尽有。他们被认为是这一非法领域的幕后策划者，向其他网络犯罪分子提供一套现成的工具，旨在全球欺诈无辜消费者。此外，他们还提供持续的更新和技术支持以进行欺诈活动。目前，“GXC团队”设计的工具能够针对超过300个实体进行攻击，包括顶级金融机构、政府服务、邮政服务、加密货币平台、支付网络以及包括美国运通、亚马逊、币安、Coinbase、Office 365（微软）、PayPal、ING、德意志银行、德国邮政银行、DAS KANN BANK、BBBank eG（前身为Badische Beamtenbank）和多家西班牙银行，特别是ABANCA、Banca March、Banco de Sabadell、Grupo Caja Rural、Unicaja Banco SA、Caixa Enginyers、Banco Mediolanum、Laboral Kutxa、Eurocaja Dynamic、BBVA和Santander等主要的国际在线市场。除了使用人工智能来扩大操作规模外，为了规避两步验证（2FA），犯罪分子制作了恶意的Android代码，模仿官方移动银行应用程序。受害者被骗安装这个伪装成确认一次性密码（OTP）的假应用程序，然后将其截取并传输给攻击者管理的命令和控制服务器。在线银行系统所需的登录凭据是通过网络钓鱼工具事先收集到的。一旦OTP被拦截，恶意行为者就可以访问受害者的银行账户，并利用地理位置相关的住宅代理来促进未经授权的访问。此外，“GXC团队”还创建了几个工具包，通过伪造政府网站窃取澳大利亚和西班牙公民的身份信息。在澳大利亚的情况下，攻击者冒充“my.gov.au”门户网站，诱使受害者提供个人信息，然后恶意收集这些信息。这种策略凸显了他们对身份盗窃以及通过欺骗性在线手段剥削毫无戒心的个人的承诺。在西班牙的情况下，“GXC团队”创建了一个假的登陆页面，冒充GOB.ES网站。这个假页面声称支持通过多家银行进行付款，旨在通过呈现看似来自官方政府网站的内容来获得受害者的信任。这种方法用于欺骗个人与恶意行为者共享敏感信息。人工智能在网络犯罪中的使用并不是一个完全新颖的概念。人工智能已被用于各种恶意目的，例如垃圾邮件，其中使用神经网络来逃避反垃圾邮件过滤器，通常通过马尔可夫链等方法。此外，人工智能已在黑帽SEO领域得到应用，高级攻击者使用神经网络创建具有欺骗性的网页内容。

根据Resecurity Hunter Unit的评估，将人工智能应用于网络犯罪活动的最有前景的领域包括：用于恶意和欺诈目的的内容生成，旨在优化人力资源和扩大运营规模。通过文本处理和文档分析识别特定对象和目标。决策和自动化的网络犯罪行动。利用以人工智能为驱动的机器人进行先进的社交工程技术。分析和评分潜在受害者，研究他们的行为，检测模式以实现更有效的定位和剥削。绕过反欺诈过滤器和网络安全控制（例如使用Deep Fakes和人工智能生成的工具）。使用人工智能进行影响和干预活动，例如情感情绪分析、针对活动和与观众的互动（例如在社交媒体网络和其他数字渠道中）。这些观察结果凸显了人工智能在网络犯罪中的不断发展和扩大的作用，给网络安全工作带来了重大挑战。

原文始发于微信公众号（黑猫安全）：网络罪犯利用人工智能（AI）进行发票欺诈