最近我的聲音被盜，讓我清醒地認識到人工智能已經有能力造成社會混亂。我被克隆的聲音質量嚇了一跳，于是決定把同樣的軟件用于“邪惡”目的，看看能否順利地從一家小公司竊取到東西。（當然，這一切都是在得到許可的情況下進行的！另外，劇透警告：整個活動執行起來出奇地容易，幾乎不費任何時間。）

事實上，自從人工智能的概念在《銀翼殺手》和《終結者》等虛構電影中變得更加主流以來，人們就開始質疑這項技術能繼續創造出什么樣的無限可能性。然而，直到現在，在不斷增強的計算機能力和媒體的廣泛關注下，我們才看到人工智能以一種既可怕又令人興奮的方式吸引了全球觀眾。隨著人工智能等技術的日益普及，我們極有可能看到具有破壞性結果的創造性和復雜性攻擊的發生。

語音克隆大冒險

我以前在警察部門的工作讓我養成了“像罪犯一樣思考”的心態。這種方法有一些非常明顯的好處，但卻沒有得到充分的重視：一個人越是像罪犯一樣思考甚至行動（而不是真正成為罪犯），他就能得到更好的保護。這對于及時了解最新的威脅以及預測未來的趨勢至關重要。

所以，為了測試人工智能目前的一些能力，我不得不再次采取數字罪犯的心態，以道德黑客的方式攻擊一家企業！

我詢問了一個聯系人——姑且叫他Harry——能否克隆他的聲音，并用其來攻擊他的公司。Harry同意了，并允許我用現成的軟件復制他的聲音，以此開始實驗。對我來說幸運的是，獲得Harry的聲音相對簡單——他經常在自己的YouTube頻道上錄制業務宣傳的短視頻，所以我能夠將其中的一些視頻拼接在一起，以便制作一個好的音頻測試平臺。幾分鐘之內，我就復制出了Harry的聲音，然后我就可以編輯任何東西，然后用他的聲音播放。

為了加大賭注，我還決定通過SIM卡交換攻擊（SIM swap attack）來竊取Harry的WhatsApp賬戶，以增加攻擊的真實性——這一步同樣是在獲得許可的情況下進行的。然后，我用他的WhatsApp賬戶給他公司的財務總監（姑且叫她Sally）發了一條語音信息，要求她向一位“新承包商”支付250英鎊。在行動開始的時候，我知道Harry正在附近的一個島上吃商務午餐，這給了我一個完美的故事和攻擊的機會。

這條語音信息包括Harry在哪里，以及他需要付錢給“樓層設計人員”，并說他會在之后直接發送銀行詳細信息。在發送給Sally的WhatsApp訊息中，除了語音信息之外，還添加了他的語音驗證，這足以讓她相信他的請求是真實的。在這條短信發出后的16分鐘內，我的個人賬戶就收到了250英鎊。

我必須承認，我對這件事情的簡單程度感到無比震驚，我沒想到能這么快就騙過Sally，讓她相信Harry的克隆聲音是真的。

這種程度的操縱之所以有效，是因為存在許多令人信服的相關因素：

• 總裁的電話號碼證實了他的身份；
• 我編造的故事與當天發生的事件相符；
• 語音信息聽起來很像老板。

在我與公司的匯報過程中，Sally反思道執行請求前確實需要慎之又慎的審核。不用說，該公司已經增加了更多的保障措施來保護他們的資產安全。當然，我也退還了250英鎊!

WhatsApp業務模擬

通過SIM卡交換攻擊竊取某人的WhatsApp賬戶可以讓攻擊變得更可信，而且這種情況比你想象的要常見得多。更重要的是，網絡犯罪分子通常不需要費多大力氣就能達到惡意目的。

例如，我最近受到了一次攻擊，從表面上看，這似乎是可信的。有人在WhatsApp上給我發了一條消息，聲稱來自我的一位IT公司高管朋友。

這里有趣的一點是，盡管我習慣于驗證信息，但這條消息到達時帶有鏈接的聯系人姓名，而不是顯示為數字。這是特別有趣的，因為我的聯系人列表中沒有保存它的號碼，我認為它仍然會顯示為一個手機號碼，而不是名字。

顯然，他們欺騙的方式很簡單，就是創建一個WhatsApp Business賬戶，你可以在這個賬戶上添加任何你想要的名字、照片和電子郵件地址，讓它立刻看起來很真實。再加上人工智能語音克隆，可以說，我們已經進入了社會工程新時代。

幸運的是，我從一開始就知道這是一個騙局，但很多人可能會落入這個簡單的騙局，最終導致資金以金融交易、預付卡或蘋果卡等形式流出，這些都是網絡竊賊的最愛。

隨著機器學習和人工智能技術迅猛發展，并越來越多地為大眾所使用，我們正在進入一個新時代：技術開始比以往任何時候都更有效地幫助網絡犯罪分子，包括改進所有有助于模糊罪犯身份和行蹤的現有工具。

安全建議

回到我們的實驗初衷，以下是一些企業所有者應該采取的基本預防措施，以避免成為語音克隆攻擊的受害者：

• 不要在業務政策上走捷徑；
• 驗證人員和流程，例如，與提出請求的人仔細檢查任何付款請求，并讓轉賬流程經由至少兩名員工簽署；
• 隨時了解最新的技術趨勢，并相應地更新培訓和防御措施；
• 對所有員工進行特別的/針對性的意識培訓；
• 使用多層安全軟件；
• 以下是一些防止SIM卡交換攻擊的建議：
• 限制您在網上分享的個人信息；如果可能的話，避免發布您的地址或電話號碼等詳細信息；
• 限制可以在社交媒體上看到您的帖子或其他資料的人數；
• 小心網絡釣魚攻擊和其他引誘您提供敏感個人資料的企圖；
• 如果您的手機供應商為您的手機賬戶提供了額外的保護，比如PIN碼或密碼，一定要使用它；
• 使用雙因素身份驗證（2FA），特別是身份驗證應用程序或硬件身份驗證設備。

事實上，使用2FA的重要性不能被低估，確保在您的WhatsApp賬戶和任何其他提供2FA的在線賬戶上也啟用它。

原文鏈接：https://www.welivesecurity.com/en/cybersecurity/your-voice-is-my-password/