AI正在助长虚假支付诈骗
ZDNET AI··作者 Charlie Osborne
关键信息
Visa 表示,其《2026 年春季双年度威胁报告》发现,2025 年 7 月至 12 月间与诈骗相关的活动接近 10 亿美元。Visa 认为,行业需要从“检测被盗凭证”转向“检测并阻断欺骗”,其中也包括类似 ClickFix 的社会工程诈骗。
资讯摘要
ZDNET 表示,Visa 的最新研究展示了 AI 正在如何改变网络犯罪与防御方式。文章的核心警告是,诈骗正在从盗取凭证和接管账号,转向利用社会工程诱导人们亲自批准恶意交易。文中把这种手法类比为 ClickFix:受害者以为自己在解决一个简单问题,实际上却被引导去执行有害操作。放到金融场景里,这可能意味着输入一次性验证码、在应用中批准付款,或者点击一个看似正常的确认按钮。
由于是用户自己授权了交易,这类损失往往会被视为“授权支付”,而不是普通黑客入侵。Visa 表示,诈骗者正在利用 AI 生成的诈骗内容、语音冒充和深度伪造媒体,让虚假请求听起来和看起来更可信。报告称,这种变化迫使金融机构重新思考欺诈检测策略,从单纯盯住被盗数据,转向识别和阻断欺骗行为。Visa 还表示,2025 年下半年其检测到近 10 亿美元的诈骗相关活动,其中包括冒充可信品牌、带有紧迫感的钓鱼攻击,以及诱导受害者自己完成交易的骗局。
资讯正文
关注 ZDNET:在 Google 上将我们设为首选来源。ZDNET 的要点:Visa 的最新研究称,AI 加速的骗局是“增长最快的消费者伤害来源”。欺诈正从凭证盗窃和账户劫持,转向社会工程手段。Visa 概述了消费者和企业需要采取哪些措施来应对这些威胁。
尽管无数公司正在探索 AI 在提升安全性、提高生产力和降低运营成本方面的巨大潜力,但这种技术也正被参与欺诈和金融犯罪的网络罪犯武器化。另见:在 AI 时代,你的企业不能出错的 5 项安全战术——以及它们为何至关重要
Visa 的一份新报告称,AI 正在重塑网络攻击和防御战术,而且具体而言,AI 正在压缩欺诈周期,让骗子更容易诱骗消费者授权恶意交易。
AI 加速了类似 ClickFix 的欺诈
还记得 ClickFix 吗?这是一种近年来流行起来的社会工程技术,它通过利用心理脆弱点,绕过传统钓鱼防御。
在 ClickFix 攻击中,受害者会被引诱去亲自执行一个恶意动作,方式是向他们展示一个需要解决的问题——而这个问题看起来有一个简单的解决方案。例如,你可能会在网站上看到一个假的恶意软件警报,敦促你打开命令提示符,复制并粘贴一段代码,然后提交它,以仅用几步就修复 PC 的“问题”。
实际上,这个“解决方案”会让你亲自执行恶意命令,从而导致恶意软件部署、数据窃取等后果。另见:OpenAI 的新图像水印让识别 AI 伪造内容更容易——方法如下
标准的数字防御措施无法阻止我们自己执行恶意或破坏性操作,这使得这种社会工程手段比简单的“路过式下载”或标准钓鱼活动有效得多。
把这一点应用到金融领域,问题就在于:如果你授权了一笔交易(无论是否欺诈),责任都在你身上——而且你很可能要承担财务损失。
根据 Visa 的《2026 年春季半年度威胁报告》,AI 赋能的社会工程正在成为欺诈防范中的一个严重问题。
这些骗局如何运作
支付欺诈可能让你付出惨重代价。如今,金融机构已经充分意识到网络诈骗、钓鱼和社会工程对消费者构成的风险,因此它们通常会对大额金融交易实施严格的安全控制。
你在支付请求被接受之前,可能需要先完成授权,例如通过应用验证身份、提供一次性验证码,或点击确认。
因此,据该报告称,诈骗者正在采用 AI 和社会工程学,“诱使人们自己授权付款”。报告还指出,他们会使用 AI 生成的诈骗内容、声音模仿和深度伪造媒体,以便在被恶意行为者利用时,“提高诈骗的覆盖面和感知可信度”。换句话说,AI 正被用来生成看起来像是来自合法、值得信赖来源——比如你的银行——的复杂内容,这些内容足以让你掏钱并授权一笔欺诈交易,从而让你自己失去通常由金融机构为你提供的身份盗用和银行犯罪保障。Visa 表示,这正迫使金融机构从“检测被盗凭证”转向“检测并阻断欺骗”;而对我们其他人来说,这则是一个必须应对的行为和意识问题。
需要注意的红旗信号
从 2025 年 7 月到 12 月,Visa 侦测到近 10 亿美元的诈骗相关活动,其中包括冒充受信任品牌和公司的行为、夹带金融紧迫感的诈骗和钓鱼活动,以及让毫无防备的受害者完成表面上看似合法、实际上却导致财务损失的交易的欺骗行为。ZDNET 多年来一直在跟踪诈骗趋势,无论是否涉及 AI,以下都是一些需要留意的常见模式和手法:
1. 冷电话
诈骗者经常冒充你所信任的公司,比如你的银行或无线服务提供商。他们可能会以折扣或免费服务为诱饵,换取验证码或账户信息;也可能要求你付款来解决一张“未支付”的账单。如果你接到陌生来电,直接挂断。如果你认为这通电话可能是真的,请通过官方沟通渠道——比如该机构的网站——进行确认,然后再交出哪怕一美元。
2. 类似 ClickFix 的手法
ClickFix 攻击之所以成功,是因为它们迎合了人们解决问题的倾向。它们会指出一个问题,并承诺只需几步就能快速修复。这一点同样适用于金融诈骗。设想你收到一封来自银行的电子邮件,要求你支付逾期款项,并表示如果你迅速行动还能享受折扣——这条消息列出三步,包括一个付款链接或一个可扫码的二维码,其中一步要求你授权一笔交易。它会让人恐慌,看起来也很容易处理,但这是假的。在你进行任何付款之前,先退一步,理性思考,并通过官方渠道核实,例如银行客服电话或支持台。
此外:这种网络攻击会骗你自己“黑”自己。以下是识别方法
3. romance scams
金融诈骗往往会试图让你感到恐慌,从而做出非理性的决定,而且不幸的是,它们也可能通过长期迎合你的情感来操纵你。 romance scams 往往会进一步引发投资和金融诈骗。如果一个你从未见过面的人向你要钱,直接说不。
近乎以假乱真的外观
围绕 AI 的一个问题是,AI 生成内容数量庞大,其中很多内容几乎难以与真实、合法的内容区分开来,包括电子邮件、图片、音频和视频。如果我们能够借助 AI 助手创建图片、照片,甚至写出更显专业的邮件,也要记住,网络犯罪分子手头同样有这些工具。另请参阅:抵御新一轮 AI 攻击速度的 5 种方法
如果你在社交媒体上看到一则奇怪的新闻报道,开始怀疑它的真实性,或者怀疑它可能是“AI slop”,那就保持同样的怀疑态度。即便一封邮件看起来很可信,只要它要求进行任何财务变更或付款,就应通过官方渠道核实它是否真如表面所示。
对组织而言,解决方案是速度
正如 Visa 在其报告中指出,建立先进的诈骗检测网络,并采用基于 AI 的解决方案来识别和标记冒充、社会工程攻击或异常交易,都有助于提升欺诈防范能力,但速度是关键要素。如今,AI 被用于从社会工程攻击到漏洞发现、侦察和网络入侵等各种用途,而且速度快到我们来不及防御,企业不能依赖耗时的人工流程来满足网络安全需求或保护消费者。(Mandiant 近日也就这一主题提供了技术指导。)另请参阅:为什么由 AI 驱动的安全工具是你应对明日攻击的秘密武器
如果 AI 正被武器化,那么就必须通过自动化——以及潜在的 AI 助手——来实现必要的转变,以保持跟进。自动化还能接手耗时的任务,例如分流,从而让网络安全专业人员更有效地检测并响应网络攻击。大型语言模型和自动化工具完成任务的速度远远快于人类;只要这些工具得到妥善监督,防御方就能更好地应对现代威胁。
Visa 支付生态系统风险与控制高级副总裁 Michael Jabbara 表示:“AI 的快速采用从根本上改变了欺诈的经济学。过去需要深厚技术技能才能完成的事情,现在只需一个提示词就能执行。这一现实使得由情报驱动的防御以及跨整个生态系统的协调行动,比以往任何时候都更加重要。”
快速行动有助于保护消费者免遭诈骗,也可能给他们争取到必要的时间,让他们后退一步,仔细思考是否真的应该批准那笔付款。
来源与参考
收录于 2026-05-21