美国国土安全部
近年来,骇客的网路社交工程战术出现显著转变,尤其是今年上半,涉及语音网钓(Vishing)与AI语音伪冒的攻击大幅增加,网路钓鱼的媒介已不再局限于传统的电子邮件。
长期以来,企业在社交工程演练聚焦电子邮件场景,直到最近几年,有些企业强调本身须建立资安文化:不只是开发与IT维运人员要重视资安、了解资安,更要让公司每个人都要具备资安意识,能有效辨识潜在威胁并懂得通报。
毕竟,现在的资安防护不仅要识别各种威胁的型态与运作原理,更要懂得举一反三。例如,企业持续训练与要求员工勿随意开启陌生者寄来的邮件,随著零信任概念的普及,预设不信任并要持续验证,现在对于来自熟悉往来对象的电子邮件,也会被公司要求留意内容是否异常,然而,透过传统或网路系统的语音来电,却可能成为另一个「看不见」的破口,因为对方来电可透过人工或AI伪冒,员工则因为不了解这类攻击态势日益猖獗,而轻信对方。尤其企业财务、会计人员,以前就是社交工程攻击的重点目标,现在更扩及更多职务。
在这次封面故事的内容探讨中,我们可以看出,现在骇客针对企业的社交工程攻击管道更广泛,遍及简讯、即时通讯、视讯会议,再加上钓鱼邮件与钓鱼网站的混合使用,甚至结合Deepfake技术,让人误以为眼见为实、耳听为真,使得社交工程诈骗变得更难防御。
不过,虽然人人都能关注这些语音网钓与伪冒事件,但还是有些细节不易掌握,因此,我们找来趋势科技的资安专家共同商讨这项议题。
语音网钓不单因为AI仿声而真假难辨,单是多变话术就让人防不胜防
今年山形铁道公司遭遇自动语音诈骗,这起事件的社交工程手法相当复杂,结合了自动语音来电与转接真人客服,再到寄送钓鱼邮件,诱使企业会计人员输入敏感资料至钓鱼网站,甚至还会再度来电骗取帐户验证所需操作。
但我们好奇的是,上述的语音网钓攻击使用AI深伪技术吗?像是企业采用的自动语音应答系统IVR,可外拨预先录制的语音讯息,以及转接的真人客服。
趋势科技研究开发部资深经理黄彦颖表示,他们在日本的同事持续追踪这起事件,但实际情况更严重,因为不只山形县的企业受害,日本其他地区已经发生,只是一般受害者没公开这些事情。
这也是此类诈骗难以揭露的原因,如果无人讲述本身的受骗过程,其他人无从得知被骗的情况,虽然日本警方在2024年底就开始示警,显示已接获这类诈骗情形的报案,但往往受害者浮上台面,才受到外界更多瞩目。
至于攻击者是否使用AI伪冒技术?黄彦颖提出看法,他表示,以此案例而言,AI可能只是用来模仿公司的自动语音讯息,是否听起来像真人其实无所谓,至于冒充真人银行客服是否使用AI,他认为,并没有被用AI来模仿特定人物的声音,顶多变声以掩饰身分。
纯靠声音的电话会议是企业远距沟通常态,有更多不易辨认真伪之处
近年有些攻击事件涉及AI深度学习伪造(Deepfake)的视讯会议,例如,去年香港警方与今年新加坡警方揭露相关案件,但这类资安事故遭伪冒的部分只有语音?还是同时涵盖语音及影像?
由于许多事件,攻击者仅是伪冒声音拨打电话即可得逞,但从当地警方与媒体的揭露,虽然都提到参加视讯会议,有Deepfake模仿高层,可能预设声音影像都会伪冒,但往往没有更明确说明。
对此,黄彦颖表示,视讯会议一词的确容易让大家搞混,事实上许多企业召开的视讯会议,都是以语音沟通为主。虽然趋势科技未参与上述两起事件的调查,但根据他们的经验判断,此类伪冒事件发生在电话视讯会议的机率算高。
换言之,有些企业沟通的情境是电话视讯会议,而且彼此的摄影镜头是关闭的,与会者只看到会议成员的名称与图像,或可能只有会议前开启镜头打声招呼就关闭,若是如此,当下攻击者就需搭配AI影像伪冒。因此,这还是要受害者能将相关状况说得清楚才行。
对于执法单位而言,我们期盼警方在侦办这类案件时,在报案单上,最好能增添明确的栏位,以便借此登记通讯的媒介,请当事者推测声音是否可能遭模仿的迹象,以及影像是否可能遭模仿等细节,才能让大家对于攻击样态的掌握更为精准。这些初期呈现的资讯很重要,因为企业遭遇相关攻击事件,第一个动作都是先报案。此外,在来电号码方面,是否完全伪冒显示一样,或是伪冒相近,或是没有伪冒只是受害者误以为用别人电话打,我们认为这也是需明确记载的细节。
人与人之间的信任建立不够严谨,须搭配更多条件验证彼此的真实性
网路上曾有一段比喻,大家看到拿梯子的人,很容易自动就信任他是这里请来的施工人员,并主动提供相关协助。
随著诈骗手法不断演进,黄彦颖表示,当他们讨论诈骗流程时,都会提到一个阶段「建立信任」,顾名思义,攻击者会透过这个过程建立信任。
例如,过去骇客常用的社交工程伎俩,是假冒IT技术支援人员,谎称受害者的电脑中毒、存在资安漏洞或帐户异常,借此营造焦虑与压力,来电提供协助以骗取信任,以达成其恶意目的。
然而,诈骗手法总是不断变化,像是使用类似逻辑、套用至不同场景,或是以其他角色采用不同话术。这不单是技术问题,往往是如何操纵目标,让受害者相信某件事,进而愿意去执行。
黄彦颖指出,在社交工程攻击中,人性是一个重要因素,因为这些诈骗者可能每天都在思考「如何改变手法来取得信任」。所以,对于防守方而言,我们需及时了解有哪些媒介,可能成为这些诈骗的第一个接触点,然后要设法提供相关的防御。
持续留意语音威胁事故,目前仍以名人遭骇与影片诈骗观众为大宗
去年初台湾新闻媒体曾报导,艺人王仁甫揭露,他的女儿疑似接到假借市场调查的电话,收集了她的声纹,随后,王仁甫的妻子季芹接到伪冒其女儿声音的诈骗电话。这个案例与早年的绑架诈骗类似,只是疑似使用AI仿声。
黄彦颖表示,国内复制个人声音来行骗的案例目前较少且零星,如果攻击活动变得活跃,他们就会持续追踪。他认为,这还是要从攻击者角度来设想,名人与知名人物仍是焦点,有钱可以骗、有人脉可以利用,而且声音影像在网路上容易取得与复制,
现阶段,攻击者仍是较常散布影片进行广泛的诈骗,受众较多,如果模仿特定声音,目标就只有认识这个声音的人。国内目前相关案例仍不多,却值得警惕,许多专家强调建立通关密语,需持续关注攻击与诈骗规模扩大情形。
总体而言,大家对于社交工程攻击趋于复杂的态势,必须要有所了解,不只注意钓鱼邮件,也要知道语音网钓、AI深伪,已有越来越多实际事件发生。
强化社交工程诈骗防护的两大新路线
现在社交工程攻击,变得更复杂与难以防范,不仅有AI技术的强力加持,还有多变的诈骗情境,都让受害者防不胜防。
我们看到资安业者与科技业者,持续设法采取更多行动来因应。例如,早期有社交工程邮件演练服务,目的是促进员工对网钓邮件的警觉性与应变能力,后来有商业电子邮件(BEC)诈骗,不少邮件安全业者积极投入,发展相关侦测机制。