Vishing (voice phishing，語音釣魚) 是一種新出現(xiàn)的智能攻擊形式，其攻擊目的就是試圖誘騙受害者泄漏個(gè)人敏感信息。

語音釣魚是網(wǎng)絡(luò)釣魚的電話版，試圖通過語音誘騙的手段，獲取受害者的個(gè)人信息。雖然這聽起來像是一種老掉牙的騙局套路，但其中卻加入了高科技元素：例如，它們涉及自動(dòng)語音模擬技術(shù)，或者詐騙者可能會(huì)使用從較早的網(wǎng)絡(luò)攻擊中獲得的有關(guān)受害者的個(gè)人信息。

[[329239]]

隨著AI的普及，語音釣魚的頻率也會(huì)越來越多。2019年，一家英國能源公司就遭遇了新型詐騙——AI合成的“語音釣魚”。該能源公司主管以為接到德國總公司CEO來電，因?yàn)閷?duì)方操著一口地道的德國口音，語調(diào)也跟他熟悉的德國總公司CEO幾乎一模一樣，于是就把款項(xiàng)轉(zhuǎn)了過去，被詐騙了22萬歐元。

無論使用哪種攻擊技術(shù)，攻擊的過程都是按著以下步驟進(jìn)行的：攻擊者首先會(huì)創(chuàng)建了一個(gè)詐騙場景來實(shí)施詐騙，然后利用人類的貪婪或恐懼等情緒，誘使受害者泄漏敏感信息，例如銀行卡號(hào)或密碼。

據(jù)統(tǒng)計(jì)，75%的詐騙受害者報(bào)告說，攻擊者在詐騙開始前就已經(jīng)掌握了一些有關(guān)他們的個(gè)人信息。

語音釣魚最初是通過IP語音(VoIP)服務(wù)發(fā)出的，這使垃圾郵件處理者更容易實(shí)現(xiàn)某些或所有過程的自動(dòng)化，而受害者或執(zhí)法人員更難追蹤。攻擊者的最終目標(biāo)是通過某種方式從受害者那里獲利，比如通過收集銀行帳戶信息或其他人可以用來訪問的銀行帳戶的個(gè)人詳細(xì)信息，或者通過誘使受害者直接付款來獲取利益。通過網(wǎng)絡(luò)語音電話 (VoIP) 很容易偽造來電號(hào)碼或假冒自動(dòng)語音系統(tǒng)，而且也容易隱藏身份。雖然欺詐的模式是一樣的，但卻存在各種各樣的欺詐技術(shù)和策略。語音釣魚詐騙可以避開所有的安全防護(hù)手段，因?yàn)樵摴糁苯永昧耸芎φ叩姆莉_意識(shí)。語音釣魚很輕易就能裝得既真實(shí)又具說服力，因此能騙得用戶的信賴，讓他們上當(dāng)。而最近出現(xiàn)的新型語音釣魚更是融合了AI技術(shù)，讓接聽者誤以為打電話的是熟人或者是上司本人，因此會(huì)大大降低用戶的防騙意識(shí)。

語音釣魚的攻擊者會(huì)經(jīng)常生成他們來自某個(gè)機(jī)構(gòu)，比如政府機(jī)構(gòu)，或者銀行或客服中心機(jī)構(gòu)，然后利用撥號(hào)軟件給許多人自動(dòng)撥號(hào)，這就像網(wǎng)絡(luò)釣魚攻擊會(huì)同時(shí)發(fā)送很多垃圾郵件一樣。在這些撥出去的號(hào)碼中，總能有幾個(gè)上當(dāng)?shù)挠脩簟Ｈ缓蠊粽呔屯ㄟ^嚇?；蛘哒T騙或者假裝提供幫助，來套出個(gè)人資料。比如，受害者會(huì)要求受害者在客服電話中輸入自己的帳號(hào)、PIN 碼或密碼，有時(shí)，攻擊者也會(huì)假借確認(rèn)身份的理由向受害者詢問一些個(gè)人資料。

那關(guān)鍵問題來了，語音釣魚的前提就是要對(duì)攻擊者的基本信息有所了解，比如攻擊目標(biāo)的家庭住址、銀行卡開戶行等。那這些數(shù)據(jù)都是哪里來的呢? Generali Global Assistance(GGA)全球身份和網(wǎng)絡(luò)保護(hù)服務(wù)首席執(zhí)行官Paige Schaffer說：“大部分?jǐn)?shù)據(jù)來自暗網(wǎng)。”

從理論上講，攻擊者擁有的信息越多，他們造成的損失就越大。

目前的語音釣魚的目標(biāo)主要集中在那些高價(jià)值的目標(biāo)人群，因?yàn)檫@些目標(biāo)的獲利更多，值得攻擊者花時(shí)間來發(fā)起攻擊。 比如，攻擊者可能會(huì)會(huì)耐心的通過釣魚電子郵件從受害者那里獲取信息，或者通過惡意軟件來捕獲信息。隨著語音模擬技術(shù)的改進(jìn)，攻擊者在其武器庫中擁有更多的工具，能夠更好的模仿特定人員試圖欺騙他們的受害者。

到目前為止，語音釣魚可以細(xì)分為下面四大類：

• 天上掉餡餅的電話詐騙，這類型騙局會(huì)在沒有掌握攻擊者任何信息的情況下給受害者打來，并且給用戶提供意外驚喜，比如彩票、免費(fèi)的假期，不過要獲得這些好處，就需要前提支付一筆費(fèi)用。
• 模仿政府人員，這種攻擊主要是誘使受害者泄漏個(gè)人信息，例如身份證號(hào)碼或銀行帳號(hào)。
• 技術(shù)支持性的詐騙，詐騙者可以利用技術(shù)的優(yōu)勢，彈出廣告或偽裝成攔截的一個(gè)惡意軟件的警告，誘騙受害者點(diǎn)開這些通知。不過就在受害者點(diǎn)擊這些所謂的通知后，就會(huì)被病毒攻擊，之后攻擊人員會(huì)聯(lián)系受害者，讓他們交出一筆維修費(fèi)，來修好遭受攻擊的計(jì)算機(jī)，這本質(zhì)上是一種勒索軟件。
• 理財(cái)型的咋騙，這些類型的詐騙對(duì)象主要是高收入人群，他們尋找非常具有高價(jià)值的目標(biāo)來電話推銷其理財(cái)產(chǎn)品。

如何防止被語音釣魚

• 不管打電話的人聲稱是來自政府機(jī)構(gòu)還是其他機(jī)構(gòu)，只要是涉及到要錢或提供個(gè)人信息。就請(qǐng)掛斷電話。
• 不要相信來電顯示，偽造一個(gè)號(hào)碼非常容易。
• 語音詐騙都有一個(gè)共同點(diǎn)，就是試圖制造一種緊迫感，讓受害者立即采取行動(dòng)。此時(shí)，你要花一點(diǎn)時(shí)間想一想。
• 天上不會(huì)掉餡餅，不要相信關(guān)于理財(cái)?shù)娜魏问虑椤?/li>
• 不要撥打在線廣告，彈出窗口，電子郵件等中提供的電話號(hào)碼。
• 對(duì)于銀行和金融機(jī)構(gòu)，只相信借記卡或信用卡背面列出的官方電話號(hào)碼。永遠(yuǎn)不要使用通過電子郵件、短信或在其他不知所以然的電話中泄漏銀行信息。