新出现的智能攻击形式:语音钓鱼攻击是如何发起攻击的?. 2020-07-09
Vishing(voicephishing,语音钓鱼)是一种新出现的智能攻击形式,其攻击目的就是试图诱骗受害者泄漏个人敏感信息。
语音钓鱼是网络钓鱼的电话版,试图通过语音诱骗的手段,获取受害者的个人信息。虽然这听起来像是一种老掉牙的骗局套路,但其中却加入了高科技元素:例如,它们涉及自动语音模拟技术,或者诈骗者可能会使用从较早的网络攻击中获得的有关受害者的个人信息。
随着AI的普及,语音钓鱼的频率也会越来越多。2019年,一家英国能源公司就遭遇了新型诈骗——AI合成的“语音钓鱼”。该能源公司主管以为接到德国总公司CEO来电,因为对方操着一口地道的德国口音,语调也跟他熟悉的德国总公司CEO几乎一模一样,于是就把款项转了过去,被诈骗了22万欧元。
无论使用哪种攻击技术,攻击的过程都是按着以下步骤进行的:攻击者首先会创建了一个诈骗场景来实施诈骗,然后利用人类的贪婪或恐惧等情绪,诱使受害者泄漏敏感信息,例如银行卡号或密码。
据统计,75%的诈骗受害者报告说,攻击者在诈骗开始前就已经掌握了一些有关他们的个人信息。
语音钓鱼最初是通过IP语音(VoIP)服务发出的,这使垃圾邮件处理者更容易实现某些或所有过程的自动化,而受害者或执法人员更难追踪。攻击者的最终目标是通过某种方式从受害者那里获利,比如通过收集银行帐户信息或其他人可以用来访问的银行帐户的个人详细信息,或者通过诱使受害者直接付款来获取利益。通过网络语音电话(VoIP)很容易伪造来电号码或假冒自动语音系统,而且也容易隐藏身份。虽然欺诈的模式是一样的,但却存在各种各样的欺诈技术和策略。语音钓鱼诈骗可以避开所有的安全防护手段,因为该攻击直接利用了受害者的防骗意识。语音钓鱼很轻易就能装得既真实又具说服力,因此能骗得用户的信赖,让他们上当。而最近出现的新型语音钓鱼更是融合了AI技术,让接听者误以为打电话的是熟人或者是上司本人,因此会大大降低用户的防骗意识。
语音钓鱼的攻击者会经常生成他们来自某个机构,比如政府机构,或者银行或客服中心机构,然后利用拨号软件给许多人自动拨号,这就像网络钓鱼攻击会同时发送很多垃圾邮件一样。在这些拨出去的号码中,总能有几个上当的用户。然后攻击者就通过吓唬或者诱骗或者假装提供帮助,来套出个人资料。比如,受害者会要求受害者在客服电话中输入自己的帐号、PIN码或密码,有时,攻击者也会假借确认身份的理由向受害者询问一些个人资料。
那关键问题来了,语音钓鱼的前提就是要对攻击者的基本信息有所了解,比如攻击目标的家庭住址、银行卡开户行等。那这些数据都是哪里来的呢?GeneraliGlobalAssistance(GGA)全球身份和网络保护服务首席执行官PaigeSchaffer说:“大部分数据来自暗网。”
从理论上讲,攻击者拥有的信息越多,他们造成的损失就越大。
目前的语音钓鱼的目标主要集中在那些高价值的目标人群,因为这些目标的获利更多,值得攻击者花时间来发起攻击。比如,攻击者可能会会耐心的通过钓鱼电子邮件从受害者那里获取信息,或者通过恶意软件来捕获信息。随着语音模拟技术的改进,攻击者在其武器库中拥有更多的工具,能够更好的模仿特定人员试图欺骗他们的受害者。
到目前为止,语音钓鱼可以细分为下面四大类:
- 天上掉馅饼的电话诈骗,这类型骗局会在没有掌握攻击者任何信息的情况下给受害者打来,并且给用户提供意外惊喜,比如彩票、免费的假期,不过要获得这些好处,就需要前提支付一笔费用。
- 模仿政府人员,这种攻击主要是诱使受害者泄漏个人信息,例如身份证号码或银行帐号。
- 技术支持性的诈骗,诈骗者可以利用技术的优势,弹出广告或伪装成拦截的一个恶意软件的警告,诱骗受害者点开这些通知。不过就在受害者点击这些所谓的通知后,就会被病毒攻击,之后攻击人员会联系受害者,让他们交出一笔维修费,来修好遭受攻击的计算机,这本质上是一种勒索软件。
- 理财型的咋骗,这些类型的诈骗对象主要是高收入人群,他们寻找非常具有高价值的目标来电话推销其理财产品。
如何防止被语音钓鱼
- 不管打电话的人声称是来自政府机构还是其他机构,只要是涉及到要钱或提供个人信息。就请挂断电话。
- 不要相信来电显示,伪造一个号码非常容易。
- 语音诈骗都有一个共同点,就是试图制造一种紧迫感,让受害者立即采取行动。此时,你要花一点时间想一想。
- 天上不会掉馅饼,不要相信关于理财的任何事情。
- 不要拨打在线广告,弹出窗口,电子邮件等中提供的电话号码。
对于银行和金融机构,只相信借记卡或信用卡背面列出的官方电话号码。永远不要使用通过电子邮件、短信或在其他不知所以然的电话中泄漏银行信息。