網絡釣魚一直是安全領域的一個突出話題,儘管這類詐騙形式已經存在了幾十年,依舊是欺詐攻擊或滲透組織的最有效方法之一。詐騙分子基於社會工程原理,通過郵件、網站以及電話、短信和社交媒體,利用人性(如衝動、不滿、好奇心)的手段,冒充受信任的實體,誘使受害者點擊虛假鏈接、下載惡意軟件、誘導轉移資金、提供賬號密碼等敏感數據行爲。
隨着技術的發展,網絡釣魚者也在改變策略,尤其在AI的幫助下,詐騙分子使用巧妙的社會工程技術和深度僞造技術欺騙受害者,讓釣魚攻擊更加複雜,攻擊極難檢測。2023 年,深度僞造網絡釣魚欺詐事件激增了驚人的3,000%。
常見的幾種深度僞造釣魚形式
深度僞造網絡釣魚遵循與社會工程攻擊相同的核心原則,通過多種不同的方式將深度僞造武器化。詐騙分子基於根據人們的特定興趣、愛好和朋友網絡,利用特定個人和組織獨有的漏洞,通過深度僞造來創建高度個性化的攻擊。不僅可以模仿某人的寫作風格,更可以近乎完美的準確性克隆聲音,同時能夠創建人工智能生成的與人臉無法區分的人臉。尤其隨着OpenAI宣佈推出Sora,深度僞造技術正變得越來越複雜和容易獲得。
僞造電子郵件。企業每年已經因電子郵件釣魚欺詐損失數十億美元,深度僞造讓電子郵件網絡釣魚攻擊更加危險,因爲威詐騙分子可以使用他們的身份看起來更可信。例如,更容易創建虛假的企業高管個人資料,並利用它們來引誘員工。釣魚郵件還會冒充重要客戶公司的員工,並經常使用“請求”、“付款”和“緊急”等短語來誘使收件人點擊。
僞造視頻。詐騙分子可以通過 Zoom 通話使用視頻深度僞造來吸引和說服受害者共享機密信息(例如憑據)或操縱他們進行未經授權的金融交易。
2024年1月,香港一家跨國公司員工遭遇釣魚詐騙損失2億港元。該員工收到一封僞裝成公司總部CFO的電子郵件後,被邀請參加視頻會議。會議中,除了該員工外,其他人均爲“深度僞造”技術製作的虛假影像。詐騙分子利用這種方式,指示員工轉賬2億港元至五個銀行賬戶。
僞造語音消息。克隆任何人的聲音都非常容易。詐騙分子常通過社交媒體上的視頻片段提取語音樣本,然後利用這些樣本創建聲音克隆,而且並不需要長時間的錄音,僅需30秒到1分鐘的樣本,詐騙分子就能製作出高度逼真的聲音克隆。這些深度僞造可用於留下語音郵件或讓人們參與實時對話,進一步模糊了現實與欺騙之間的界限。據信,37% 的組織在 2022 年經歷了深度僞造語音欺詐。
2023年12月,一名留學生在境外被“綁架”,父母遭“綁匪”索要500萬元贖金,還收到了“肉票”被控制、傷害的視頻。通過現場調查及國際警務合作,5個小時後,涉事留學生小賈被成功解救——不是從綁匪手中,而是在學校所在國的出入境口岸。真相也隨之揭開:讓小賈和父母經歷驚心時刻的“綁架案”,其實是詐騙分子精心佈設的騙局,是一起典型的針對留學生和家屬的“虛擬綁架”詐騙。
深度僞造“加持”的網絡釣魚攻擊纔剛剛開始,企業和個人需要多重組合手段進行防範。例如,普及公衆安全培訓與教育,使用生物與活體驗證,增加數字簽名驗證,加強設備與操作驗證,使用多重身份驗證 (MFA),增加賬號驗證頻次,部署反欺詐系統驗,在特定關係對象設的聯繫中設置特殊“安全詞”。同時,用 AI技術對抗深度僞造釣魚,實時關注網絡釣魚的最新威脅與變化等,以此降低深度僞造網絡釣魚帶來的風險。
業務安全產品:免費試用
業務安全交流羣:加入暢聊