Deepfakes:語音釣魚即服務(VaaS)的聲音“偽裝者”
研究顯示,電子郵件網絡釣魚攻擊已激增35%。雖然企業組織正在努力解決這一棘手問題,但網絡犯罪分子卻已加大賭注轉向一種更為復雜的技術——使用先進的Deepfake和語音模擬技術繞過語音授權機制,實施語音網絡釣魚(或vishing)攻擊。
數字風險保護公司Digital Shadows的研究部門Photon Research Team警告稱,網絡犯罪分子正在將網絡犯罪提升到一個新的水平,使用深度偽造的音頻或視頻技術使欺騙行為看起來盡可能可信。更有甚者,網絡犯罪分子還在將商用深度偽造和語音模擬工具武器化。
研究人員表示,在Deepfake音頻技術的幫助下,威脅行為者可以冒充其目標并繞過語音身份驗證機制等安全措施,來授權欺詐交易或欺騙受害者的聯系人以收集有價值的情報。
如今,越來越多的銀行正在使用語音授權來驗證客戶的身份。根據生物識別研究機構 Biometric Update的一份報告顯示,語音生物識別市場正以22.8%的復合年增長率增長,到2026年將達到39億美元。
同時,Photon研究人員也觀察到,攻擊者經常使用聲稱來自銀行的預先錄制消息來攻擊銀行賬戶持有人,敦促他們通過電話提供賬戶憑據。
雖然語音釣魚(vishing)并不是什么新鮮事,但Photon 研究人員指出,Deepfake技術的進步使語音釣魚嘗試看起來比以往任何時候都更加可信。Photon Research團隊表示,“雖然人工智能發展歷程有限,但如今公開市場上可用的語音模擬工具可謂非常復雜。深度學習AI技術可以創建非常逼真的deepfake。當然,模擬的成本可會隨著可信度的增加而增加。”
那么,這種成本壁壘能否阻止較小的網絡犯罪集團參與其中?
答案可能是否定的。根據研究人員所言,如果攻擊者在攻擊的偵察階段獲得了正確的樣本,他們可能不需要語音模擬工具,因為這對于許多網絡犯罪分子來說過于昂貴和復雜。相反地,攻擊者可以編輯他們的樣本以生成所需的任何聲音。
安全措施可能會要求驗證者說出他們的姓名、出生日期或預先確定的短語。在這種情況下,攻擊者所需要做的就是播放預先錄制的語音信息。
以往的攻擊案例
Photon研究團隊指出,與傳統網絡釣魚攻擊中的“廣撒網”(spray and pray)方法不同,大多數成功的語音釣魚攻擊涉及個人而不是公司。網絡犯罪分子通常將注意力集中在一個特定的人或一群高價值的個人,亦或擁有重要訪問權限的人身上。
2015年6月,《以色列時報》報道稱,一名伊朗網絡犯罪分子冒充BBC波斯記者,請求采訪以色列教授Thamar Eilam Gindin,結果Gindin被誘騙共享她的電子郵件憑據以訪問Google Drive文檔。然后攻擊者使用她的憑據訪問她的社交媒體帳戶,并向她的聯系人發送了惡意軟件。
2019年7月,《華爾街日報》報道了網絡犯罪分子使用語音克隆工具冒充一家英國能源公司的首席執行官,結果成功獲取了243,000美元的欺詐性匯款。
2020年,《安全周刊》報道稱,APT-C-23組織使用變聲軟件生成令人信服的女性聲音音頻信息,在社交媒體上利用虛假的以色列女性角色誘騙以色列士兵下載一個移動應用程序,該應用程序會在他們的設備上安裝惡意軟件,以幫助攻擊者獲得設備的完全控制權。
【在俄羅斯網絡犯罪論壇上展示的語音釣魚廣告】
語音釣魚即服務(Vishing-as-a-Service)
Photon研究人員表示,他們在一個講俄語的網絡犯罪論壇上發現了語音釣魚即服務(Vishing-as-a-Service)。一個威脅行為者正在宣傳一種創建、克隆和托管定制語音機器人的語音服務,其中包括一個“復雜的電話交互響應系統”。
而根據研究人員的觀察,尋找語音釣魚運營商的客戶不在少數。有些甚至有已經確定的特定目標,例如,一位客戶想要在多階段(multistage)社會工程攻擊中針對加密貨幣專家。
據悉,語音釣魚相關服務的基本價格為1,000美元,額外的定制還需要額外的成本。
語音釣魚實現方式
Photon研究人員表示,“Deepfake技術可以實時改變或克隆聲音,從而對一個人的聲音進行人工模擬。”
為了選擇目標,網絡犯罪分子會使用開源情報技術,主動和被動掃描開放端口以及易受攻擊的設備,或者篩選包含受損憑據的泄露數據庫。
在鎖定目標后,攻擊者可能會冒充購買者與目標組織中的權威人物交談,并提出一些無關緊要的問題以獲取語音樣本。他們很可能會記錄對話并使用樣本作為參考,以便之后的模仿或拼接操作。
有時候,簡單的語音模擬被證明是不夠的;Photon Research團隊舉了一個例子,當目標公司指示攻擊者將文檔發送到公司電子郵件ID時,一次語音釣魚攻擊嘗試遇到了障礙。
面對這種意外的障礙,攻擊者一般會向犯罪論壇上的社會工程師尋求幫助(售價1,000盧布,約13.5美元),他們可以誘使受害者點擊其會在電話中收到的鏈接。研究人員將這種方式稱為“混合策略”——將語音釣魚攻擊與常規網絡釣魚攻擊結合使用。
2020年就曾發生過這種大規模混合操作,在案件中,攻擊者偽裝成IT支持人員來針對目標企業的新員工,提供對VPN訪問問題的故障排除。攻擊者通過“故障排除”電話或讓他們在欺騙性的VPN訪問門戶上輸入憑據,成功地獲得了毫無戒心的新員工的VPN憑據。
武器化的語音模擬工具
Photon研究團隊還觀察到,網絡犯罪分子正在討論一種用于改變聲音的商用軟件,以改善角色扮演游戲或RPG中的人機交互。
高級軟件,例如AV Voice Changer Software Diamond,可以以99.95 美元的價格購買到,而其他軟件,例如Voicemod,則是免費的。
Photon研究團隊表示,deepfake技術和語音模擬工具不僅被用來傳播網絡攻擊,還被用來傳播虛假信息。慶幸的是,這一切已經引起了當局的重視。
目前,五角大樓正在通過國防高級研究計劃局(DARPA)與主要研究機構合作開發檢測deepfake的技術。
本文翻譯自:https://www.bankinfosecurity.com/deepfakes-voice-impersonators-used-in-vishing-as-a-service-a-18050如若轉載,請注明原文地址。
