谈到企业面临的网路诈骗威胁,熟悉资安的人会先想到的攻击型态,是透过电子邮件与网址进行的各种网路钓鱼行为(Phishing),后续衍生出商业邮件诈骗(BEC),财务人员与高层主管是攻击者假冒的对象,也可能是被欺骗的目标,近年来,随著AI技术突飞猛进与普及,虽然带来生产力提升,然而,仿造与假冒人员影像与声音的技术门槛与成本,也大幅降低,使得深伪(Deepfake)的资安风险受到重视。
我们持续追踪AI资安风险的同时,也注意到语音网路钓鱼(Vishing)攻击日益显著。近期最常被引用的数据,来自资安厂商CrowdStrike,他们2月底发布的年度全球威胁报告指出,去年有多个攻击者将Vishing纳进侵入目标的手段,月复合成长率达到40%,而且在下半年暴增442%(对比2024上半),并认为攻击者采用AI驱动的网路钓鱼与身分冒用等策略,是助长这类资安威胁的主因。
对于熟悉资安领域的人而言,网路钓鱼堪称大家最熟悉的社交工程攻击伎俩的总称,因为它瞄准的正是人性的弱点,而相较于过去大幅仰赖电子邮件传递诱饵的攻击手法,Vishing的采用往往能够进一步提升、甚至直接施加各种言语话术的说服力。
以CrowdStrike这份报告列出的状况而言,Vishing被用于服务台类型的社交工程(Help Desk Social Engineering),例如,攻击者会拨打电话给使用者,假冒IT人员并以解决上网或资安问题为借口,诱骗使用者下载恶意软体、建立远端支援连线,或将身分凭证输入网路钓鱼网页;或是相反地,攻击者拨打电话给锁定的企业IT服务人员,假冒合法员工并声称自己存取电脑或系统有问题,要求IT人员重设密码,以及多因素身分验证。
既然视讯和语音诈骗与人性弱点密切相关,恰巧让我想到科幻电影遗落战境(Oblivion)的情节,攻击地球的外星人凭借拦截到的任务指挥官通讯片段画面和语音,蒙骗与操弄主角。而这样的剧情与人物设定,恰巧呼应BEC与Vishing成功诈骗企业员工的关键:攻击者伪装组织高层。例如,在注重权威与阶层管理的企业与组织,当员工透过电子邮件、电话、视讯会议等形式,接到高层的指示与命令时,第一个念头大多是认真思考如何回复,以及后续该如何达成工作要求,而非先去确认对方的身分真实性。
而在IT服务型的社交工程攻击当中,使用者与服务者之间,其实也存在某种关系张力,对于使用者而言,担心犯错、自己IT技能不足、没妥善保管与使用IT系统及设备,增添IT部门与企业的麻烦,而对于服务者而言,往往也抱持著用户至上的工作理念,都会尽可能协助使用者,希望尽快恢复所要使用的IT系统及设备,在实体、彼此能碰面接触的环境中,这些心态相当正常,但如果需透过远端沟通的方式进行这些工作,就必须增添确认身分的程序,再进一步授权给对方执行相关作业程序。
在金融业的消费者客户服务当中,我们可以看到有些情境会特别提出不同的身分验证需求。例如,我们想确认帐单或保单是否已缴费,可透过电话客服查询,过程中会核对用户的基本资料,但如果是修改帐单或保单的寄送地址,有些公司会要求用户亲自到他们的分支据点,在查验身分证之后,接著以填写纸本表格的方式进行变更。
另一个语音钓鱼挑战的人际往来弱点,是人们对于语音沟通品质的要求并不高。科技虽然不断进步,然而,人们透过电话或视讯会议呈现的语音品质,至今仍无法完全比拟实体面对面交谈,大家早就习惯经由这些通讯系统所传达的声音,品质不如真实说话,因此,对于声音失真的各种状况,像是抖动、延迟、不流畅,都有心理准备,因此,攻击者即使用很含糊、类似的语音,搭配一些迫使接话方必须马上做决定的急切情境,接话方很可能就会因为无暇判断真伪而妥协,误以为发话方是公司同事、主管、亲友,配合发话方的指示行动,结果中计。
想避免遭到语音诈骗的操弄,关键在于近期资安领域持续提倡的零信任。落实「Never Trust, Always Verify(永不信任,一律验证)」,会是关键,在兼顾安全性的前提之下,能确认对方就是自己认知到的主管、同事、客户、使用者、合作伙伴,不影响工作与生活效率,这部分有待大家一起努力。