語(yǔ)音釣魚(yú)是網(wǎng)絡(luò)釣魚(yú)的電話(huà)版,試圖通過(guò)語(yǔ)音誘騙的手段,獲取受害者的個(gè)人信息。雖然這聽(tīng)起來(lái)像是一種老掉牙的騙局套路,但其中卻加入了高科技元素:例如,它們涉及自動(dòng)語(yǔ)音模擬技術(shù),或者詐騙者可能會(huì)使用從較早的網(wǎng)絡(luò)攻擊中獲得的有關(guān)受害者的個(gè)人信息。
隨著AI的普及,語(yǔ)音釣魚(yú)的頻率也會(huì)越來(lái)越多。2019年,一家英國(guó)能源公司就遭遇了新型詐騙——AI合成的“語(yǔ)音釣魚(yú)”。該能源公司主管以為接到德國(guó)總公司CEO來(lái)電,因?yàn)閷?duì)方操著一口地道的德國(guó)口音,語(yǔ)調(diào)也跟他熟悉的德國(guó)總公司CEO幾乎一模一樣,于是就把款項(xiàng)轉(zhuǎn)了過(guò)去,被詐騙了22萬(wàn)歐元。
無(wú)論使用哪種攻擊技術(shù),攻擊的過(guò)程都是按著以下步驟進(jìn)行的:攻擊者首先會(huì)創(chuàng)建了一個(gè)詐騙場(chǎng)景來(lái)實(shí)施詐騙,然后利用人類(lèi)的貪婪或恐懼等情緒,誘使受害者泄漏敏感信息,例如銀行卡號(hào)或密碼。
據(jù)統(tǒng)計(jì),75%的詐騙受害者報(bào)告說(shuō),攻擊者在詐騙開(kāi)始前就已經(jīng)掌握了一些有關(guān)他們的個(gè)人信息。
語(yǔ)音釣魚(yú)最初是通過(guò)IP語(yǔ)音(VoIP)服務(wù)發(fā)出的,這使垃圾郵件處理者更容易實(shí)現(xiàn)某些或所有過(guò)程的自動(dòng)化,而受害者或執(zhí)法人員更難追蹤。攻擊者的最終目標(biāo)是通過(guò)某種方式從受害者那里獲利,比如通過(guò)收集銀行帳戶(hù)信息或其他人可以用來(lái)訪問(wèn)的銀行帳戶(hù)的個(gè)人詳細(xì)信息,或者通過(guò)誘使受害者直接付款來(lái)獲取利益。通過(guò)網(wǎng)絡(luò)語(yǔ)音電話(huà)(VoIP)很容易偽造來(lái)電號(hào)碼或假冒自動(dòng)語(yǔ)音系統(tǒng),而且也容易隱藏身份。雖然欺詐的模式是一樣的,但卻存在各種各樣的欺詐技術(shù)和策略。語(yǔ)音釣魚(yú)詐騙可以避開(kāi)所有的安全防護(hù)手段,因?yàn)樵摴糁苯永昧耸芎φ叩姆莉_意識(shí)。語(yǔ)音釣魚(yú)很輕易就能裝得既真實(shí)又具說(shuō)服力,因此能騙得用戶(hù)的信賴(lài),讓他們上當(dāng)。而最近出現(xiàn)的新型語(yǔ)音釣魚(yú)更是融合了AI技術(shù),讓接聽(tīng)者誤以為打電話(huà)的是熟人或者是上司本人,因此會(huì)大大降低用戶(hù)的防騙意識(shí)。
語(yǔ)音釣魚(yú)的攻擊者會(huì)經(jīng)常生成他們來(lái)自某個(gè)機(jī)構(gòu),比如政府機(jī)構(gòu),或者銀行或客服中心機(jī)構(gòu),然后利用撥號(hào)軟件給許多人自動(dòng)撥號(hào),這就像網(wǎng)絡(luò)釣魚(yú)攻擊會(huì)同時(shí)發(fā)送很多垃圾郵件一樣。在這些撥出去的號(hào)碼中,總能有幾個(gè)上當(dāng)?shù)挠脩?hù)。然后攻擊者就通過(guò)嚇唬或者誘騙或者假裝提供幫助,來(lái)套出個(gè)人資料。比如,受害者會(huì)要求受害者在客服電話(huà)中輸入自己的帳號(hào)、PIN碼或密碼,有時(shí),攻擊者也會(huì)假借確認(rèn)身份的理由向受害者詢(xún)問(wèn)一些個(gè)人資料。
那關(guān)鍵問(wèn)題來(lái)了,語(yǔ)音釣魚(yú)的前提就是要對(duì)攻擊者的基本信息有所了解,比如攻擊目標(biāo)的家庭住址、銀行卡開(kāi)戶(hù)行等。那這些數(shù)據(jù)都是哪里來(lái)的呢?GeneraliGlobalAssistance(GGA)全球身份和網(wǎng)絡(luò)保護(hù)服務(wù)首席執(zhí)行官PaigeSchaffer說(shuō):“大部分?jǐn)?shù)據(jù)來(lái)自暗網(wǎng)。”
從理論上講,攻擊者擁有的信息越多,他們?cè)斐傻膿p失就越大。
目前的語(yǔ)音釣魚(yú)的目標(biāo)主要集中在那些高價(jià)值的目標(biāo)人群,因?yàn)檫@些目標(biāo)的獲利更多,值得攻擊者花時(shí)間來(lái)發(fā)起攻擊。比如,攻擊者可能會(huì)會(huì)耐心的通過(guò)釣魚(yú)電子郵件從受害者那里獲取信息,或者通過(guò)惡意軟件來(lái)捕獲信息。隨著語(yǔ)音模擬技術(shù)的改進(jìn),攻擊者在其武器庫(kù)中擁有更多的工具,能夠更好的模仿特定人員試圖欺騙他們的受害者。
到目前為止,語(yǔ)音釣魚(yú)可以細(xì)分為下面四大類(lèi):
- 天上掉餡餅的電話(huà)詐騙,這類(lèi)型騙局會(huì)在沒(méi)有掌握攻擊者任何信息的情況下給受害者打來(lái),并且給用戶(hù)提供意外驚喜,比如彩票、免費(fèi)的假期,不過(guò)要獲得這些好處,就需要前提支付一筆費(fèi)用。
- 模仿政府人員,這種攻擊主要是誘使受害者泄漏個(gè)人信息,例如身份證號(hào)碼或銀行帳號(hào)。
- 技術(shù)支持性的詐騙,詐騙者可以利用技術(shù)的優(yōu)勢(shì),彈出廣告或偽裝成攔截的一個(gè)惡意軟件的警告,誘騙受害者點(diǎn)開(kāi)這些通知。不過(guò)就在受害者點(diǎn)擊這些所謂的通知后,就會(huì)被病毒攻擊,之后攻擊人員會(huì)聯(lián)系受害者,讓他們交出一筆維修費(fèi),來(lái)修好遭受攻擊的計(jì)算機(jī),這本質(zhì)上是一種勒索軟件。
- 理財(cái)型的咋騙,這些類(lèi)型的詐騙對(duì)象主要是高收入人群,他們尋找非常具有高價(jià)值的目標(biāo)來(lái)電話(huà)推銷(xiāo)其理財(cái)產(chǎn)品。
如何防止被語(yǔ)音釣魚(yú)
- 不管打電話(huà)的人聲稱(chēng)是來(lái)自政府機(jī)構(gòu)還是其他機(jī)構(gòu),只要是涉及到要錢(qián)或提供個(gè)人信息。就請(qǐng)掛斷電話(huà)。
- 不要相信來(lái)電顯示,偽造一個(gè)號(hào)碼非常容易。
- 語(yǔ)音詐騙都有一個(gè)共同點(diǎn),就是試圖制造一種緊迫感,讓受害者立即采取行動(dòng)。此時(shí),你要花一點(diǎn)時(shí)間想一想。
- 天上不會(huì)掉餡餅,不要相信關(guān)于理財(cái)?shù)娜魏问虑椤?/li>
- 不要撥打在線廣告,彈出窗口,電子郵件等中提供的電話(huà)號(hào)碼。
對(duì)于銀行和金融機(jī)構(gòu),只相信借記卡或信用卡背面列出的官方電話(huà)號(hào)碼。永遠(yuǎn)不要使用通過(guò)電子郵件、短信或在其他不知所以然的電話(huà)中泄漏銀行信息。
