社交工程攻擊長(zhǎng)期以來一直是一種有效的策略，因?yàn)樗鼘Ｗ⒂诶萌祟惖娜觞c(diǎn)。它不需要暴力破解密碼，也不需要尋找未修補(bǔ)的軟件漏洞。相反，它只是通過操縱信任、恐懼和對(duì)權(quán)威的尊重等情感，來獲取敏感信息或訪問受保護(hù)的系統(tǒng)。

　　傳統(tǒng)上，這意味著攻擊者需要手動(dòng)研究和接觸目標(biāo)，這耗費(fèi)了大量的時(shí)間和資源。然而，隨著人工智能(AI)的出現(xiàn)，現(xiàn)在可以大規(guī)模地發(fā)起社交工程攻擊，甚至不需要心理學(xué)專業(yè)知識(shí)。本文將介紹AI如何推動(dòng)新一輪社交工程攻擊的五種方式。

　　1. 音頻深度偽造可能影響了斯洛伐克選舉

　　在2023年斯洛伐克議會(huì)選舉前夕，一段錄音浮出水面，內(nèi)容似乎是候選人Michal Simecka與知名記者M(jìn)onika Todova的對(duì)話。這段兩分鐘的音頻討論了購(gòu)買選票和提高啤酒價(jià)格的問題。

　　這段錄音在網(wǎng)上傳播后，被揭露是偽造的，聲音是由AI生成的，且基于說話者的聲音進(jìn)行了訓(xùn)練。

　　然而，這段深度偽造的音頻在選舉前幾天才被發(fā)布。這讓許多人懷疑AI是否影響了選舉結(jié)果，并導(dǎo)致Michal Simecka所在的進(jìn)步斯洛伐克黨最終屈居第二。

　　2. 2500萬美元的視頻會(huì)議騙局

　　2024年2月，有報(bào)道稱，跨國(guó)企業(yè)Arup的一名財(cái)務(wù)員工遭遇了一起AI驅(qū)動(dòng)的社交工程攻擊。這名員工參加了一個(gè)在線會(huì)議，與會(huì)者包括他認(rèn)為是公司首席財(cái)務(wù)官(CFO)和其他同事的人。

　　在視頻會(huì)議期間，這名財(cái)務(wù)員工被要求轉(zhuǎn)賬2500萬美元。由于相信請(qǐng)求來自真正的CFO，員工按照指示完成了交易。

　　最初，他們通過電子郵件收到了會(huì)議邀請(qǐng)，這讓他們懷疑自己可能成為釣魚攻擊的目標(biāo)。然而，在看到似乎是CFO和同事的真人后，信任得以恢復(fù)。

　　唯一的問題是，這名員工是會(huì)議中唯一真實(shí)的人。其他與會(huì)者都是通過深度偽造技術(shù)生成的數(shù)字人物，而資金則流入了詐騙者的賬戶。

　　3. 母親接到100萬美元的贖金電話

　　很多人都收到過類似“嗨，媽媽/爸爸，這是我的新號(hào)碼。你能轉(zhuǎn)一些錢到我的新賬戶嗎?”的隨機(jī)短信。當(dāng)以文字形式收到時(shí)，人們更容易停下來思考：“這條信息是真的嗎?”然而，如果你接到一個(gè)電話，聽到對(duì)方的聲音并認(rèn)出是自己的孩子呢?而且，如果聽起來他們被綁架了呢?

　　這正是2023年在美國(guó)參議院作證的一位母親的經(jīng)歷。她接到一個(gè)電話，聽起來像是她15歲的女兒打來的。接聽后，她聽到：“媽媽，這些壞人抓住了我。”隨后，一個(gè)男聲威脅說，除非支付100萬美元贖金，否則將采取一系列可怕的行動(dòng)。

　　在恐慌、震驚和緊迫感的驅(qū)使下，這位母親相信了她所聽到的一切，直到后來發(fā)現(xiàn)這通電話是使用AI克隆的聲音制作的。

　　4. 竊取用戶名和密碼的虛假Facebook聊天機(jī)器人

　　Facebook曾表示：“如果你收到聲稱來自Facebook的可疑電子郵件或消息，請(qǐng)不要點(diǎn)擊任何鏈接或附件。”然而，社交工程攻擊者仍然通過這種策略取得了成功。

　　他們可能會(huì)利用人們對(duì)失去賬戶訪問權(quán)限的恐懼，要求他們點(diǎn)擊惡意鏈接并申訴虛假的封禁。他們還可能發(fā)送一個(gè)鏈接，并附上問題“這是你在視頻中嗎?”，從而觸發(fā)人們的好奇心、擔(dān)憂和點(diǎn)擊欲望。

　　如今，攻擊者在這種社交工程攻擊中加入了AI驅(qū)動(dòng)的聊天機(jī)器人。用戶會(huì)收到一封假裝來自Facebook的電子郵件，威脅要關(guān)閉他們的賬戶。點(diǎn)擊“申訴”按鈕后，會(huì)彈出一個(gè)聊天機(jī)器人，要求用戶輸入用戶名和密碼。支持窗口帶有Facebook的品牌標(biāo)識(shí)，實(shí)時(shí)互動(dòng)中還包含“立即行動(dòng)”的請(qǐng)求，進(jìn)一步增加了攻擊的緊迫感。

　　5. 深度偽造的澤連斯基總統(tǒng)呼吁“放下武器”

　　俗話說，戰(zhàn)爭(zhēng)中的第一個(gè)犧牲品是真相。只是有了AI，真相現(xiàn)在也可以被數(shù)字化重塑。2022年，一段偽造的視頻似乎顯示烏克蘭總統(tǒng)澤連斯基敦促烏克蘭人投降并停止與俄羅斯的戰(zhàn)爭(zhēng)。這段錄音通過被黑客入侵的烏克蘭24電視臺(tái)播出，隨后在網(wǎng)上傳播。

澤連斯基總統(tǒng)深度偽造視頻的截圖，面部和頸部膚色存在差異

　　許多媒體報(bào)道指出，這段視頻存在太多錯(cuò)誤，難以被廣泛相信。例如，總統(tǒng)的頭部與身體比例不協(xié)調(diào)，且角度不自然。

　　盡管AI在社交工程中的應(yīng)用還處于相對(duì)早期階段，但這類視頻往往足以讓人們停下來思考：“如果這是真的呢?”有時(shí)，只需在對(duì)手的真實(shí)性中引入一絲懷疑，就足以贏得勝利。

　　AI將社交工程推向新高度：如何應(yīng)對(duì)?

　　對(duì)于組織來說，最大的挑戰(zhàn)在于社交工程攻擊針對(duì)的是情感，并喚起了我們作為人類的本能反應(yīng)。畢竟，我們習(xí)慣于相信自己的眼睛和耳朵，并愿意相信被告知的內(nèi)容。這些都是無法簡(jiǎn)單地關(guān)閉、降級(jí)或置于防火墻之后的自然本能。

　　再加上AI的崛起，這些攻擊顯然將繼續(xù)在數(shù)量、種類和速度上不斷涌現(xiàn)、演變和擴(kuò)展。

　　因此，我們需要通過教育員工來控制和應(yīng)對(duì)他們?cè)谑盏疆惓；蛞馔庹?qǐng)求時(shí)的反應(yīng)。鼓勵(lì)人們?cè)谕瓿杀灰蟮氖虑橹巴Ｏ聛硭伎肌Ｏ蛩麄冋故净贏I的社交工程攻擊是什么樣子，最重要的是，讓他們感受到實(shí)際攻擊中的情感操縱。這樣，無論AI發(fā)展得多快，我們都可以將員工轉(zhuǎn)變?yōu)榈谝坏婪谰€。

　　以下是一個(gè)三點(diǎn)行動(dòng)計(jì)劃，供你參考：

　　與員工和同事討論這些案例，并針對(duì)深度偽造威脅進(jìn)行專門培訓(xùn)——提高他們的意識(shí)，并探討他們應(yīng)該如何應(yīng)對(duì)。

　　為員工設(shè)置一些社交工程模擬場(chǎng)景——讓他們體驗(yàn)常見的情感操縱技巧，并識(shí)別他們?cè)谡鎸?shí)攻擊中的自然反應(yīng)。

　　審查組織的防御措施、賬戶權(quán)限和角色特權(quán)——了解潛在攻擊者在獲得初始訪問權(quán)限后的行動(dòng)路徑。