研究表明,电子邮件网络钓鱼攻击激增了35%。当组织正在努力解决这个棘手的问题时,网络犯罪分子已经提高了赌注并转向了一种更复杂的技术——使用高级深度伪造和语音仿真来绕过语音授权机制并实施语音网络钓鱼(或网络钓鱼)攻击。数字风险保护公司DigitalShadows的研究部门PhotonResearchTeam警告说,网络犯罪分子正在将网络犯罪提升到一个新的水平,他们使用深度伪造音频或视频技术使欺骗看起来尽可能可信。更重要的是,网络犯罪分子正在将市售的深度伪造和语音仿真工具武器化。研究人员表示,在深度伪造音频技术的帮助下,威胁行为者可以冒充他们的目标并绕过语音认证机制等安全措施来授权欺诈交易或欺骗受害者的联系人以收集有价值的情报。如今,越来越多的银行正在使用语音授权来验证客户的身份。根据生物识别研究公司BiometricUpdate的一份报告,语音生物识别市场正以22.8%的复合年增长率增长,到2026年将达到39亿美元。同时,Photon研究人员还观察到,攻击者经常以银行账户持有人为目标,向他们发送声称来自银行的预先录制的消息,敦促他们通过电话提供账户凭证。虽然钓鱼并不是什么新鲜事,但Photon研究人员指出,深度伪造技术的进步让钓鱼尝试看起来比以往任何时候都更加可信。PhotonResearch团队表示,“虽然人工智能的发展受到限制,但如今公开市场上可用的语音模拟工具可谓非常复杂。深度学习AI技术可以创造出非常逼真的deepfake。当然,模拟的成本也很高可能随着可信度的增加而变化。”那么,这种成本障碍是否会阻止较小的网络犯罪集团介入?答案可能是否定的。据研究人员称,如果攻击者在攻击的侦察阶段获得正确的样本,他们可能不需要语音仿真工具,而语音仿真工具太对于许多网络犯罪分子而言,成本高昂且复杂。相反,攻击者可以编辑他们的样本以生成所需的任何声音。安全措施可能要求验证者说出他们的姓名、出生日期或预先确定的短语。在这种情况下,攻击者需要做的就是正在播放预先录制的语音消息。过去的攻击案例Photon研究团队指出,与传统网络钓鱼攻击中的“喷洒和祈祷”方法不同,大多数成功的语音网络钓鱼攻击涉及个人而非公司。网络罪犯通常关注一个特定的人或一组高价值的人,或者那些具有关键访问权限的人。2015年6月,《以色列时报》报道称,一名伊朗网络罪犯冒充BBC波斯语记者要求采访以色列教授ThamarEilamGindin,后者被诱骗分享她的电子邮件凭据以访问GoogleDrive文档。然后,攻击者使用她的凭据访问她的社交媒体帐户,并向她的联系人发送恶意软件。2019年7月,《华尔街日报》报道称,网络犯罪分子使用语音克隆工具冒充英国一家能源公司的首席执行官,成功获得243,000美元的欺诈汇款。2020年,《安全周刊》报道称,APT-C-23组织使用变声软件生成令人信服的女声音频信息,并在社交媒体上使用虚假的以色列女性角色诱骗以色列士兵下载手机应用程序。恶意软件将安装在他们的设备上,以帮助攻击者获得对设备的完全控制。[俄罗斯网络犯罪论坛上显示的语音网络钓鱼广告]Photon研究人员表示,他们在一个俄语网络犯罪论坛上发现了“钓鱼即服务”。即服务)。一个威胁行为者正在宣传一种语音服务,该服务可以创建、克隆和托管自定义语音机器人,包括“复杂的电话交互响应系统”。据研究人员观察,寻找语音钓鱼运营商的客户不在少数。有些甚至已经确定了特定目标,例如,客户希望在多阶段社会工程攻击中以加密货币专家为目标。据悉,语音钓鱼相关服务的基本价格为1000美元,额外定制需要额外付费。语音网络钓鱼的工作原理Photon研究人员说,“Deepfake技术可以实时改变或克隆声音,从而人为地模拟一个人的声音。”为了选择目标,网络罪犯使用开源情报技术,主动和被动地扫描开放端口和易受攻击的设备,或筛选包含受损凭据的泄露数据库。一旦成为目标,攻击者可能会伪装成买家与目标组织中的权威人物交谈并提出无关紧要的问题以获得语音样本。他们很可能会把对话录下来,并把样本作为后期模仿或拼接操作的参考。有时简单的语音仿真证明是不够的;PhotonResearch团队举了一个例子,当目标公司指示攻击者将文档发送到公司电子邮件ID时,语音网络钓鱼攻击尝试遇到了障碍。面对这种意想不到的障碍,攻击者通常求助于犯罪论坛上的社会工程师(1,000卢布,约合13.50美元),他们可以诱骗受害者点击他们将在手机上收到的链接。研究人员将这种方法称为“混合策略”——将语音网络钓鱼攻击与常规网络钓鱼攻击相结合。2020年曾发生过这样大规模的混合操作,攻击者伪装成IT支持人员,针对目标企业的新员工提供VPN访问问题的排查。攻击者通过“故障排除”电话或让他们在欺骗性VPN访问门户上输入他们的凭据,成功地获得了毫无戒心的新员工的VPN凭据。武器化语音模拟工具Photon研究团队还观察到网络犯罪分子正在讨论一种商业软件,用于改变声音以改善角色扮演游戏或RPG中的人机交互。AVVoiceChangerSoftwareDiamond等高级软件的售价为99.95美元,而Voicemod等其他软件则免费。根据Photon研究团队的说法,deepfake技术和语音模拟工具不仅用于传播网络攻击,还用于传播虚假信息。幸运的是,这一切都引起了当局的重视。目前,五角大楼正在通过国防高级研究计划局(DARPA)与主要研究机构合作,开发检测deepfakes的技术。本文翻译自:https://www.bankinfosecurity.com/deepfakes-voice-impersonators-used-in-vishing-as-a-service-a-18050如有转载请注明出处。
