新出現的智能攻擊形式:語音釣魚攻擊是如何發起攻擊的?
Vishing (voice phishing,語音釣魚) 是一種新出現的智能攻擊形式,其攻擊目的就是試圖誘騙受害者泄漏個人敏感信息。
語音釣魚是網絡釣魚的電話版,試圖通過語音誘騙的手段,獲取受害者的個人信息。雖然這聽起來像是一種老掉牙的騙局套路,但其中卻加入了高科技元素:例如,它們涉及自動語音模擬技術,或者詐騙者可能會使用從較早的網絡攻擊中獲得的有關受害者的個人信息。
隨著AI的普及,語音釣魚的頻率也會越來越多。2019年,一家英國能源公司就遭遇了新型詐騙——AI合成的“語音釣魚”。該能源公司主管以為接到德國總公司CEO來電,因為對方操著一口地道的德國口音,語調也跟他熟悉的德國總公司CEO幾乎一模一樣,于是就把款項轉了過去,被詐騙了22萬歐元。
無論使用哪種攻擊技術,攻擊的過程都是按著以下步驟進行的:攻擊者首先會創建了一個詐騙場景來實施詐騙,然后利用人類的貪婪或恐懼等情緒,誘使受害者泄漏敏感信息,例如銀行卡號或密碼。
據統計,75%的詐騙受害者報告說,攻擊者在詐騙開始前就已經掌握了一些有關他們的個人信息。
語音釣魚最初是通過IP語音(VoIP)服務發出的,這使垃圾郵件處理者更容易實現某些或所有過程的自動化,而受害者或執法人員更難追蹤。攻擊者的最終目標是通過某種方式從受害者那里獲利,比如通過收集銀行帳戶信息或其他人可以用來訪問的銀行帳戶的個人詳細信息,或者通過誘使受害者直接付款來獲取利益。通過網絡語音電話 (VoIP) 很容易偽造來電號碼或假冒自動語音系統,而且也容易隱藏身份。雖然欺詐的模式是一樣的,但卻存在各種各樣的欺詐技術和策略。語音釣魚詐騙可以避開所有的安全防護手段,因為該攻擊直接利用了受害者的防騙意識。語音釣魚很輕易就能裝得既真實又具說服力,因此能騙得用戶的信賴,讓他們上當。而最近出現的新型語音釣魚更是融合了AI技術,讓接聽者誤以為打電話的是熟人或者是上司本人,因此會大大降低用戶的防騙意識。
語音釣魚的攻擊者會經常生成他們來自某個機構,比如政府機構,或者銀行或客服中心機構,然后利用撥號軟件給許多人自動撥號,這就像網絡釣魚攻擊會同時發送很多垃圾郵件一樣。在這些撥出去的號碼中,總能有幾個上當的用戶。然后攻擊者就通過嚇唬或者誘騙或者假裝提供幫助,來套出個人資料。比如,受害者會要求受害者在客服電話中輸入自己的帳號、PIN 碼或密碼,有時,攻擊者也會假借確認身份的理由向受害者詢問一些個人資料。
那關鍵問題來了,語音釣魚的前提就是要對攻擊者的基本信息有所了解,比如攻擊目標的家庭住址、銀行卡開戶行等。那這些數據都是哪里來的呢? Generali Global Assistance(GGA)全球身份和網絡保護服務首席執行官Paige Schaffer說:“大部分數據來自暗網。”
從理論上講,攻擊者擁有的信息越多,他們造成的損失就越大。
目前的語音釣魚的目標主要集中在那些高價值的目標人群,因為這些目標的獲利更多,值得攻擊者花時間來發起攻擊。 比如,攻擊者可能會會耐心的通過釣魚電子郵件從受害者那里獲取信息,或者通過惡意軟件來捕獲信息。隨著語音模擬技術的改進,攻擊者在其武器庫中擁有更多的工具,能夠更好的模仿特定人員試圖欺騙他們的受害者。
到目前為止,語音釣魚可以細分為下面四大類:
- 天上掉餡餅的電話詐騙,這類型騙局會在沒有掌握攻擊者任何信息的情況下給受害者打來,并且給用戶提供意外驚喜,比如彩票、免費的假期,不過要獲得這些好處,就需要前提支付一筆費用。
- 模仿政府人員,這種攻擊主要是誘使受害者泄漏個人信息,例如身份證號碼或銀行帳號。
- 技術支持性的詐騙,詐騙者可以利用技術的優勢,彈出廣告或偽裝成攔截的一個惡意軟件的警告,誘騙受害者點開這些通知。不過就在受害者點擊這些所謂的通知后,就會被病毒攻擊,之后攻擊人員會聯系受害者,讓他們交出一筆維修費,來修好遭受攻擊的計算機,這本質上是一種勒索軟件。
- 理財型的咋騙,這些類型的詐騙對象主要是高收入人群,他們尋找非常具有高價值的目標來電話推銷其理財產品。
如何防止被語音釣魚
- 不管打電話的人聲稱是來自政府機構還是其他機構,只要是涉及到要錢或提供個人信息。就請掛斷電話。
- 不要相信來電顯示,偽造一個號碼非常容易。
- 語音詐騙都有一個共同點,就是試圖制造一種緊迫感,讓受害者立即采取行動。此時,你要花一點時間想一想。
- 天上不會掉餡餅,不要相信關于理財的任何事情。
- 不要撥打在線廣告,彈出窗口,電子郵件等中提供的電話號碼。
- 對于銀行和金融機構,只相信借記卡或信用卡背面列出的官方電話號碼。永遠不要使用通過電子郵件、短信或在其他不知所以然的電話中泄漏銀行信息。
