社交工程攻擊長期以來一直是一種有效的策略，因為它專注于利用人類的弱點。它不需要暴力破解密碼，也不需要尋找未修補的軟件漏洞。相反，它只是通過操縱信任、恐懼和對權威的尊重等情感，來獲取敏感信息或訪問受保護的系統(tǒng)。

傳統(tǒng)上，這意味著攻擊者需要手動研究和接觸目標，這耗費了大量的時間和資源。然而，隨著人工智能（AI）的出現(xiàn)，現(xiàn)在可以大規(guī)模地發(fā)起社交工程攻擊，甚至不需要心理學專業(yè)知識。本文將介紹AI如何推動新一輪社交工程攻擊的五種方式。

1. 音頻深度偽造可能影響了斯洛伐克選舉

在2023年斯洛伐克議會選舉前夕，一段錄音浮出水面，內(nèi)容似乎是候選人Michal Simecka與知名記者Monika Todova的對話。這段兩分鐘的音頻討論了購買選票和提高啤酒價格的問題。

這段錄音在網(wǎng)上傳播后，被揭露是偽造的，聲音是由AI生成的，且基于說話者的聲音進行了訓練。

然而，這段深度偽造的音頻在選舉前幾天才被發(fā)布。這讓許多人懷疑AI是否影響了選舉結果，并導致Michal Simecka所在的進步斯洛伐克黨最終屈居第二。

2. 2500萬美元的視頻會議騙局

2024年2月，有報道稱，跨國企業(yè)Arup的一名財務員工遭遇了一起AI驅動的社交工程攻擊。這名員工參加了一個在線會議，與會者包括他認為是公司首席財務官（CFO）和其他同事的人。

在視頻會議期間，這名財務員工被要求轉賬2500萬美元。由于相信請求來自真正的CFO，員工按照指示完成了交易。

最初，他們通過電子郵件收到了會議邀請，這讓他們懷疑自己可能成為釣魚攻擊的目標。然而，在看到似乎是CFO和同事的真人后，信任得以恢復。

唯一的問題是，這名員工是會議中唯一真實的人。其他與會者都是通過深度偽造技術生成的數(shù)字人物，而資金則流入了詐騙者的賬戶。

3. 母親接到100萬美元的贖金電話

很多人都收到過類似“嗨，媽媽/爸爸，這是我的新號碼。你能轉一些錢到我的新賬戶嗎？”的隨機短信。當以文字形式收到時，人們更容易停下來思考：“這條信息是真的嗎？”然而，如果你接到一個電話，聽到對方的聲音并認出是自己的孩子呢？而且，如果聽起來他們被綁架了呢？

這正是2023年在美國參議院作證的一位母親的經(jīng)歷。她接到一個電話，聽起來像是她15歲的女兒打來的。接聽后，她聽到：“媽媽，這些壞人抓住了我?！彪S后，一個男聲威脅說，除非支付100萬美元贖金，否則將采取一系列可怕的行動。

在恐慌、震驚和緊迫感的驅使下，這位母親相信了她所聽到的一切，直到后來發(fā)現(xiàn)這通電話是使用AI克隆的聲音制作的。

4. 竊取用戶名和密碼的虛假Facebook聊天機器人

Facebook曾表示：“如果你收到聲稱來自Facebook的可疑電子郵件或消息，請不要點擊任何鏈接或附件?！比欢?，社交工程攻擊者仍然通過這種策略取得了成功。

他們可能會利用人們對失去賬戶訪問權限的恐懼，要求他們點擊惡意鏈接并申訴虛假的封禁。他們還可能發(fā)送一個鏈接，并附上問題“這是你在視頻中嗎？”，從而觸發(fā)人們的好奇心、擔憂和點擊欲望。

如今，攻擊者在這種社交工程攻擊中加入了AI驅動的聊天機器人。用戶會收到一封假裝來自Facebook的電子郵件，威脅要關閉他們的賬戶。點擊“申訴”按鈕后，會彈出一個聊天機器人，要求用戶輸入用戶名和密碼。支持窗口帶有Facebook的品牌標識，實時互動中還包含“立即行動”的請求，進一步增加了攻擊的緊迫感。

5. 深度偽造的澤連斯基總統(tǒng)呼吁“放下武器”

俗話說，戰(zhàn)爭中的第一個犧牲品是真相。只是有了AI，真相現(xiàn)在也可以被數(shù)字化重塑。2022年，一段偽造的視頻似乎顯示烏克蘭總統(tǒng)澤連斯基敦促烏克蘭人投降并停止與俄羅斯的戰(zhàn)爭。這段錄音通過被黑客入侵的烏克蘭24電視臺播出，隨后在網(wǎng)上傳播。

澤連斯基總統(tǒng)深度偽造視頻的截圖，面部和頸部膚色存在差異

許多媒體報道指出，這段視頻存在太多錯誤，難以被廣泛相信。例如，總統(tǒng)的頭部與身體比例不協(xié)調，且角度不自然。

盡管AI在社交工程中的應用還處于相對早期階段，但這類視頻往往足以讓人們停下來思考：“如果這是真的呢？”有時，只需在對手的真實性中引入一絲懷疑，就足以贏得勝利。

AI將社交工程推向新高度：如何應對？

對于組織來說，最大的挑戰(zhàn)在于社交工程攻擊針對的是情感，并喚起了我們作為人類的本能反應。畢竟，我們習慣于相信自己的眼睛和耳朵，并愿意相信被告知的內(nèi)容。這些都是無法簡單地關閉、降級或置于防火墻之后的自然本能。

再加上AI的崛起，這些攻擊顯然將繼續(xù)在數(shù)量、種類和速度上不斷涌現(xiàn)、演變和擴展。

因此，我們需要通過教育員工來控制和應對他們在收到異?；蛞馔庹埱髸r的反應。鼓勵人們在完成被要求的事情之前停下來思考。向他們展示基于AI的社交工程攻擊是什么樣子，最重要的是，讓他們感受到實際攻擊中的情感操縱。這樣，無論AI發(fā)展得多快，我們都可以將員工轉變?yōu)榈谝坏婪谰€。

以下是一個三點行動計劃，供你參考：

• 與員工和同事討論這些案例，并針對深度偽造威脅進行專門培訓——提高他們的意識，并探討他們應該如何應對。
• 為員工設置一些社交工程模擬場景——讓他們體驗常見的情感操縱技巧，并識別他們在真實攻擊中的自然反應。
• 審查組織的防御措施、賬戶權限和角色特權——了解潛在攻擊者在獲得初始訪問權限后的行動路徑。