【安全资讯】政府身份证与面部识别：一种新的网络钓鱼威胁

概要：

近期，Cofense钓鱼防御中心的Harsh Patel和Brandon Cook发布了一份报告，揭示了一种新型的网络钓鱼攻击手法，该手法结合了对政府身份证的钓鱼和面部识别视频捕捉。这种复杂的攻击不仅危及个人安全，还破坏了公众对我们日常依赖的数字基础设施的信任。

主要内容：

该钓鱼方案以一封声称需要紧急身份验证的电子邮件开始，目的是为了确保账户的持续使用。根据Patel和Cook的说法，“功能丧失或服务访问中断是诱使用户提交信息的常见手段。”这种紧迫感使受害者在未仔细审查链接真实性的情况下点击恶意链接。

一旦受害者点击链接，他们会看到一个看似合法的CAPTCHA页面，旨在降低怀疑。Patel和Cook指出，“这种CAPTCHA风格的页面较为少见，成为一种有趣且具有欺骗性的策略。”页面上附加的保证性文本，例如“无需担心——这是安全的”，进一步操控受害者对该过程的信任。

接下来，用户被引导到一个虚假的身份验证页面，要求上传政府签发的身份证明文件。尽管该页面设计简单，但却伴随着明显的欺诈迹象，包括不相关的域名和模糊的信息。攻击的最后一步涉及生物识别数据的窃取，用户被指示进行“自拍检查”，模仿合法的面部识别系统。Patel和Cook警告说，“通过恶意网站复制或伪造生物识别数据的潜力引发了更大的担忧。”

这种方法代表了钓鱼攻击的危险演变。通过结合传统身份盗窃技术与生物识别数据捕捉，网络犯罪分子能够获取难以更改或撤销的高度敏感信息。报告强调了AI技术进步带来的风险，犯罪分子可以利用这些技术进一步操控和利用被盗的生物识别数据。