最近我的聲音被盜，讓我清醒地認(rèn)識(shí)到人工智能已經(jīng)有能力造成社會(huì)混亂。我被克隆的聲音質(zhì)量嚇了一跳，于是決定把同樣的軟件用于“邪惡”目的，看看能否順利地從一家小公司竊取到東西。（當(dāng)然，這一切都是在得到許可的情況下進(jìn)行的！另外，劇透警告：整個(gè)活動(dòng)執(zhí)行起來出奇地容易，幾乎不費(fèi)任何時(shí)間。）

事實(shí)上，自從人工智能的概念在《銀翼殺手》和《終結(jié)者》等虛構(gòu)電影中變得更加主流以來，人們就開始質(zhì)疑這項(xiàng)技術(shù)能繼續(xù)創(chuàng)造出什么樣的無限可能性。然而，直到現(xiàn)在，在不斷增強(qiáng)的計(jì)算機(jī)能力和媒體的廣泛關(guān)注下，我們才看到人工智能以一種既可怕又令人興奮的方式吸引了全球觀眾。隨著人工智能等技術(shù)的日益普及，我們極有可能看到具有破壞性結(jié)果的創(chuàng)造性和復(fù)雜性攻擊的發(fā)生。

語音克隆大冒險(xiǎn)

我以前在警察部門的工作讓我養(yǎng)成了“像罪犯一樣思考”的心態(tài)。這種方法有一些非常明顯的好處，但卻沒有得到充分的重視：一個(gè)人越是像罪犯一樣思考甚至行動(dòng)（而不是真正成為罪犯），他就能得到更好的保護(hù)。這對(duì)于及時(shí)了解最新的威脅以及預(yù)測未來的趨勢至關(guān)重要。

所以，為了測試人工智能目前的一些能力，我不得不再次采取數(shù)字罪犯的心態(tài)，以道德黑客的方式攻擊一家企業(yè)！

我詢問了一個(gè)聯(lián)系人——姑且叫他Harry——能否克隆他的聲音，并用其來攻擊他的公司。Harry同意了，并允許我用現(xiàn)成的軟件復(fù)制他的聲音，以此開始實(shí)驗(yàn)。對(duì)我來說幸運(yùn)的是，獲得Harry的聲音相對(duì)簡單——他經(jīng)常在自己的YouTube頻道上錄制業(yè)務(wù)宣傳的短視頻，所以我能夠?qū)⑵渲械囊恍┮曨l拼接在一起，以便制作一個(gè)好的音頻測試平臺(tái)。幾分鐘之內(nèi)，我就復(fù)制出了Harry的聲音，然后我就可以編輯任何東西，然后用他的聲音播放。

為了加大賭注，我還決定通過SIM卡交換攻擊（SIM swap attack）來竊取Harry的WhatsApp賬戶，以增加攻擊的真實(shí)性——這一步同樣是在獲得許可的情況下進(jìn)行的。然后，我用他的WhatsApp賬戶給他公司的財(cái)務(wù)總監(jiān)（姑且叫她Sally）發(fā)了一條語音信息，要求她向一位“新承包商”支付250英鎊。在行動(dòng)開始的時(shí)候，我知道Harry正在附近的一個(gè)島上吃商務(wù)午餐，這給了我一個(gè)完美的故事和攻擊的機(jī)會(huì)。

這條語音信息包括Harry在哪里，以及他需要付錢給“樓層設(shè)計(jì)人員”，并說他會(huì)在之后直接發(fā)送銀行詳細(xì)信息。在發(fā)送給Sally的WhatsApp訊息中，除了語音信息之外，還添加了他的語音驗(yàn)證，這足以讓她相信他的請(qǐng)求是真實(shí)的。在這條短信發(fā)出后的16分鐘內(nèi)，我的個(gè)人賬戶就收到了250英鎊。

我必須承認(rèn)，我對(duì)這件事情的簡單程度感到無比震驚，我沒想到能這么快就騙過Sally，讓她相信Harry的克隆聲音是真的。

這種程度的操縱之所以有效，是因?yàn)榇嬖谠S多令人信服的相關(guān)因素：

• 總裁的電話號(hào)碼證實(shí)了他的身份；
• 我編造的故事與當(dāng)天發(fā)生的事件相符；
• 語音信息聽起來很像老板。

在我與公司的匯報(bào)過程中，Sally反思道執(zhí)行請(qǐng)求前確實(shí)需要慎之又慎的審核。不用說，該公司已經(jīng)增加了更多的保障措施來保護(hù)他們的資產(chǎn)安全。當(dāng)然，我也退還了250英鎊!

WhatsApp業(yè)務(wù)模擬

通過SIM卡交換攻擊竊取某人的WhatsApp賬戶可以讓攻擊變得更可信，而且這種情況比你想象的要常見得多。更重要的是，網(wǎng)絡(luò)犯罪分子通常不需要費(fèi)多大力氣就能達(dá)到惡意目的。

例如，我最近受到了一次攻擊，從表面上看，這似乎是可信的。有人在WhatsApp上給我發(fā)了一條消息，聲稱來自我的一位IT公司高管朋友。

這里有趣的一點(diǎn)是，盡管我習(xí)慣于驗(yàn)證信息，但這條消息到達(dá)時(shí)帶有鏈接的聯(lián)系人姓名，而不是顯示為數(shù)字。這是特別有趣的，因?yàn)槲业穆?lián)系人列表中沒有保存它的號(hào)碼，我認(rèn)為它仍然會(huì)顯示為一個(gè)手機(jī)號(hào)碼，而不是名字。

顯然，他們欺騙的方式很簡單，就是創(chuàng)建一個(gè)WhatsApp Business賬戶，你可以在這個(gè)賬戶上添加任何你想要的名字、照片和電子郵件地址，讓它立刻看起來很真實(shí)。再加上人工智能語音克隆，可以說，我們已經(jīng)進(jìn)入了社會(huì)工程新時(shí)代。

幸運(yùn)的是，我從一開始就知道這是一個(gè)騙局，但很多人可能會(huì)落入這個(gè)簡單的騙局，最終導(dǎo)致資金以金融交易、預(yù)付卡或蘋果卡等形式流出，這些都是網(wǎng)絡(luò)竊賊的最愛。

隨著機(jī)器學(xué)習(xí)和人工智能技術(shù)迅猛發(fā)展，并越來越多地為大眾所使用，我們正在進(jìn)入一個(gè)新時(shí)代：技術(shù)開始比以往任何時(shí)候都更有效地幫助網(wǎng)絡(luò)犯罪分子，包括改進(jìn)所有有助于模糊罪犯身份和行蹤的現(xiàn)有工具。

安全建議

回到我們的實(shí)驗(yàn)初衷，以下是一些企業(yè)所有者應(yīng)該采取的基本預(yù)防措施，以避免成為語音克隆攻擊的受害者：

• 不要在業(yè)務(wù)政策上走捷徑；
• 驗(yàn)證人員和流程，例如，與提出請(qǐng)求的人仔細(xì)檢查任何付款請(qǐng)求，并讓轉(zhuǎn)賬流程經(jīng)由至少兩名員工簽署；
• 隨時(shí)了解最新的技術(shù)趨勢，并相應(yīng)地更新培訓(xùn)和防御措施；
• 對(duì)所有員工進(jìn)行特別的/針對(duì)性的意識(shí)培訓(xùn)；
• 使用多層安全軟件；
• 以下是一些防止SIM卡交換攻擊的建議：
• 限制您在網(wǎng)上分享的個(gè)人信息；如果可能的話，避免發(fā)布您的地址或電話號(hào)碼等詳細(xì)信息；
• 限制可以在社交媒體上看到您的帖子或其他資料的人數(shù)；
• 小心網(wǎng)絡(luò)釣魚攻擊和其他引誘您提供敏感個(gè)人資料的企圖；
• 如果您的手機(jī)供應(yīng)商為您的手機(jī)賬戶提供了額外的保護(hù)，比如PIN碼或密碼，一定要使用它；
• 使用雙因素身份驗(yàn)證（2FA），特別是身份驗(yàn)證應(yīng)用程序或硬件身份驗(yàn)證設(shè)備。

事實(shí)上，使用2FA的重要性不能被低估，確保在您的WhatsApp賬戶和任何其他提供2FA的在線賬戶上也啟用它。

原文鏈接：https://www.welivesecurity.com/en/cybersecurity/your-voice-is-my-password/