美国联邦调查局(FBI)于5月15日示警,近期出现假冒美国高层官员,发起简讯钓鱼与语音钓鱼的攻击行动,半个月后当地媒体指出,FBI正调查一起简讯、语音伪冒美国白宫幕僚长的事件。
一旦国家政府高层的声音遭伪冒,亲自致电要求执行特定指令,接听者几乎难以分辨真伪,其潜在冲击将不容小觑,这样的事件并非电影与科幻情节,美国FBI从2020年就开始针对相关伪冒示警,2025年5月更是出现有人伪冒美国白宫幕僚长的状况。
关于这起攻击活动,美国联邦调查局(FBI)先是在5月15日警告,有骇客从4月开始假冒美国高层官员,发动诈骗简讯与语音钓鱼的攻击行动,提醒外界要特别注意相关事件。
FBI强调,这波攻击的手法主要结合了「简讯钓鱼」(Smishing),以及「语音钓鱼」(Vishing),也就是分别透过文字简讯与AI合成语音讯息的方式,假装成美国高级官员来骗取信任,目的可能包含诱导受害者点击恶意连结,或是前往其他通讯平台联系,进一步骗取帐密等相关资讯,另也指出其攻击目标,多为现任或曾担任联邦与州政府的高阶官员,以及他们的联络人。
伪冒国家政府高层情形受广泛关注,值得全球警惕
当时FBI没有公布具体遇害事件,不过半个月后传出更多后续消息。根据华盛顿邮报5月29日报导指出,美国FBI与白宫正调查一起攻击活动,原因是发现有人透过简讯、语音假扮白宫幕僚长Susie Wiles,以及假扮她的联络人,向参议员、州长及企业高层发送联系邀约。
报导引述知情人士透露,攻击者疑似骇入白宫幕僚长Susie Wiles的私人手机,并窃取了她的联络人名单。
而且,这些假冒白宫幕僚长发送的简讯和电话,并非来自Susie Wiles本人的电话号码,但语音网钓方面,疑似采用AI来伪冒其声音以增加可信度。
报导中还提到一些状况,像是有假冒Susie Wiles骗称要索取政府赦免人员名单,有议员一开始信以为真,还有另一遭锁定的目标则指出,曾与假冒者交谈过,后来才警觉到这不是本人。
目前尚不清楚攻击者的身分,也还没公布入侵方式。不过,此事件已经突显出,当今AI语音伪冒,与社交工程攻击手法的威胁,以及个人装置遭入侵后可能引发的连锁效应。
值得注意的是,FBI自4年前(2021年)就已经警告,出现愈来愈多语音钓鱼攻击,而且其目的,是意图窃取企业帐号登入资讯,如今随著AI语音伪冒,这类假冒企业、政府高层的问题,将变得更需要受重视。
北韩骇客结合网钓手法与AI深伪技术,意图散布恶意软体
FBI先前警告提到,攻击者还会引诱受害者点击恶意连结,后续有资安业者揭露这类攻击。
资安业者Huntress于6月18日揭露一起攻击活动,指出北韩骇客组织BlueNoroff锁定加密货币机构员工,利用Deepfake技术伪装成公司高阶主管,与受害者进行Zoom线上会议,进而诱使macOS电脑的用户,安装包含恶意的Zoom扩充套件。