[[440784]]

研究顯示，電子郵件網(wǎng)絡(luò)釣魚攻擊已激增35%。雖然企業(yè)組織正在努力解決這一棘手問題，但網(wǎng)絡(luò)犯罪分子卻已加大賭注轉(zhuǎn)向一種更為復(fù)雜的技術(shù)——使用先進(jìn)的Deepfake和語音模擬技術(shù)繞過語音授權(quán)機(jī)制，實(shí)施語音網(wǎng)絡(luò)釣魚(或vishing)攻擊。

數(shù)字風(fēng)險(xiǎn)保護(hù)公司Digital Shadows的研究部門Photon Research Team警告稱，網(wǎng)絡(luò)犯罪分子正在將網(wǎng)絡(luò)犯罪提升到一個(gè)新的水平，使用深度偽造的音頻或視頻技術(shù)使欺騙行為看起來盡可能可信。更有甚者，網(wǎng)絡(luò)犯罪分子還在將商用深度偽造和語音模擬工具武器化。

研究人員表示，在Deepfake音頻技術(shù)的幫助下，威脅行為者可以冒充其目標(biāo)并繞過語音身份驗(yàn)證機(jī)制等安全措施，來授權(quán)欺詐交易或欺騙受害者的聯(lián)系人以收集有價(jià)值的情報(bào)。

如今，越來越多的銀行正在使用語音授權(quán)來驗(yàn)證客戶的身份。根據(jù)生物識(shí)別研究機(jī)構(gòu) Biometric Update的一份報(bào)告顯示，語音生物識(shí)別市場正以22.8%的復(fù)合年增長率增長，到2026年將達(dá)到39億美元。

同時(shí)，Photon研究人員也觀察到，攻擊者經(jīng)常使用聲稱來自銀行的預(yù)先錄制消息來攻擊銀行賬戶持有人，敦促他們通過電話提供賬戶憑據(jù)。

雖然語音釣魚(vishing)并不是什么新鮮事，但Photon 研究人員指出，Deepfake技術(shù)的進(jìn)步使語音釣魚嘗試看起來比以往任何時(shí)候都更加可信。Photon Research團(tuán)隊(duì)表示，“雖然人工智能發(fā)展歷程有限，但如今公開市場上可用的語音模擬工具可謂非常復(fù)雜。深度學(xué)習(xí)AI技術(shù)可以創(chuàng)建非常逼真的deepfake。當(dāng)然，模擬的成本可會(huì)隨著可信度的增加而增加。”

那么，這種成本壁壘能否阻止較小的網(wǎng)絡(luò)犯罪集團(tuán)參與其中?

答案可能是否定的。根據(jù)研究人員所言，如果攻擊者在攻擊的偵察階段獲得了正確的樣本，他們可能不需要語音模擬工具，因?yàn)檫@對于許多網(wǎng)絡(luò)犯罪分子來說過于昂貴和復(fù)雜。相反地，攻擊者可以編輯他們的樣本以生成所需的任何聲音。

安全措施可能會(huì)要求驗(yàn)證者說出他們的姓名、出生日期或預(yù)先確定的短語。在這種情況下，攻擊者所需要做的就是播放預(yù)先錄制的語音信息。

以往的攻擊案例

Photon研究團(tuán)隊(duì)指出，與傳統(tǒng)網(wǎng)絡(luò)釣魚攻擊中的“廣撒網(wǎng)”(spray and pray)方法不同，大多數(shù)成功的語音釣魚攻擊涉及個(gè)人而不是公司。網(wǎng)絡(luò)犯罪分子通常將注意力集中在一個(gè)特定的人或一群高價(jià)值的個(gè)人，亦或擁有重要訪問權(quán)限的人身上。

2015年6月，《以色列時(shí)報(bào)》報(bào)道稱，一名伊朗網(wǎng)絡(luò)犯罪分子冒充BBC波斯記者，請求采訪以色列教授Thamar Eilam Gindin，結(jié)果Gindin被誘騙共享她的電子郵件憑據(jù)以訪問Google Drive文檔。然后攻擊者使用她的憑據(jù)訪問她的社交媒體帳戶，并向她的聯(lián)系人發(fā)送了惡意軟件。

2019年7月，《華爾街日報(bào)》報(bào)道了網(wǎng)絡(luò)犯罪分子使用語音克隆工具冒充一家英國能源公司的首席執(zhí)行官，結(jié)果成功獲取了243,000美元的欺詐性匯款。

2020年，《安全周刊》報(bào)道稱，APT-C-23組織使用變聲軟件生成令人信服的女性聲音音頻信息，在社交媒體上利用虛假的以色列女性角色誘騙以色列士兵下載一個(gè)移動(dòng)應(yīng)用程序，該應(yīng)用程序會(huì)在他們的設(shè)備上安裝惡意軟件，以幫助攻擊者獲得設(shè)備的完全控制權(quán)。

【在俄羅斯網(wǎng)絡(luò)犯罪論壇上展示的語音釣魚廣告】

語音釣魚即服務(wù)(Vishing-as-a-Service)

Photon研究人員表示，他們在一個(gè)講俄語的網(wǎng)絡(luò)犯罪論壇上發(fā)現(xiàn)了語音釣魚即服務(wù)(Vishing-as-a-Service)。一個(gè)威脅行為者正在宣傳一種創(chuàng)建、克隆和托管定制語音機(jī)器人的語音服務(wù)，其中包括一個(gè)“復(fù)雜的電話交互響應(yīng)系統(tǒng)”。

而根據(jù)研究人員的觀察，尋找語音釣魚運(yùn)營商的客戶不在少數(shù)。有些甚至有已經(jīng)確定的特定目標(biāo)，例如，一位客戶想要在多階段(multistage)社會(huì)工程攻擊中針對加密貨幣專家。

據(jù)悉，語音釣魚相關(guān)服務(wù)的基本價(jià)格為1,000美元，額外的定制還需要額外的成本。

語音釣魚實(shí)現(xiàn)方式

Photon研究人員表示，“Deepfake技術(shù)可以實(shí)時(shí)改變或克隆聲音，從而對一個(gè)人的聲音進(jìn)行人工模擬。”

為了選擇目標(biāo)，網(wǎng)絡(luò)犯罪分子會(huì)使用開源情報(bào)技術(shù)，主動(dòng)和被動(dòng)掃描開放端口以及易受攻擊的設(shè)備，或者篩選包含受損憑據(jù)的泄露數(shù)據(jù)庫。

在鎖定目標(biāo)后，攻擊者可能會(huì)冒充購買者與目標(biāo)組織中的權(quán)威人物交談，并提出一些無關(guān)緊要的問題以獲取語音樣本。他們很可能會(huì)記錄對話并使用樣本作為參考，以便之后的模仿或拼接操作。

有時(shí)候，簡單的語音模擬被證明是不夠的;Photon Research團(tuán)隊(duì)舉了一個(gè)例子，當(dāng)目標(biāo)公司指示攻擊者將文檔發(fā)送到公司電子郵件ID時(shí)，一次語音釣魚攻擊嘗試遇到了障礙。

面對這種意外的障礙，攻擊者一般會(huì)向犯罪論壇上的社會(huì)工程師尋求幫助(售價(jià)1,000盧布，約13.5美元)，他們可以誘使受害者點(diǎn)擊其會(huì)在電話中收到的鏈接。研究人員將這種方式稱為“混合策略”——將語音釣魚攻擊與常規(guī)網(wǎng)絡(luò)釣魚攻擊結(jié)合使用。

2020年就曾發(fā)生過這種大規(guī)?；旌喜僮?，在案件中，攻擊者偽裝成IT支持人員來針對目標(biāo)企業(yè)的新員工，提供對VPN訪問問題的故障排除。攻擊者通過“故障排除”電話或讓他們在欺騙性的VPN訪問門戶上輸入憑據(jù)，成功地獲得了毫無戒心的新員工的VPN憑據(jù)。

武器化的語音模擬工具

Photon研究團(tuán)隊(duì)還觀察到，網(wǎng)絡(luò)犯罪分子正在討論一種用于改變聲音的商用軟件，以改善角色扮演游戲或RPG中的人機(jī)交互。

高級(jí)軟件，例如AV Voice Changer Software Diamond，可以以99.95 美元的價(jià)格購買到，而其他軟件，例如Voicemod，則是免費(fèi)的。

Photon研究團(tuán)隊(duì)表示，deepfake技術(shù)和語音模擬工具不僅被用來傳播網(wǎng)絡(luò)攻擊，還被用來傳播虛假信息。慶幸的是，這一切已經(jīng)引起了當(dāng)局的重視。

目前，五角大樓正在通過國防高級(jí)研究計(jì)劃局(DARPA)與主要研究機(jī)構(gòu)合作開發(fā)檢測deepfake的技術(shù)。

本文翻譯自：https://www.bankinfosecurity.com/deepfakes-voice-impersonators-used-in-vishing-as-a-service-a-18050如若轉(zhuǎn)載，請注明原文地址。