iThome
今年3月日本一家公司的会计人员如往常处理帐务,突然接到来自「银行」的语音系统来电,声称为了安全,需更新企业网路银行(Net EB)的资讯,请她配合后续作业,否则帐户将在两小时后停用。
接下来,她依照语音指示按下指定数字键,电话被转接到一位「银行客服」,对方态度专业,自称是负责协助更新作业的专员,并索取公司电子邮件信箱。几分钟后,她便收到一封看似银行寄来的邮件,对方透过电话一步步引导,从邮件中连结填写相关资料,包含公司资讯与网银帐户资料,甚至操作银行OTP硬体设备……直到操作完成前,她都未曾起疑。
但这其实是一场锁定企业的社交工程诈骗行动,攻击者不单单是寄送网钓邮件为饵,更从自动语音开场、真人伪冒客服来诱导,真正的目标是她所负责的企业网路银行帐户内的金钱。
Vishing、Deepfake与混合攻击,加剧社交工程攻击风险
近年来,网路社交工程攻击的样貌正出现重大转变,取代传统钓鱼邮件(Phishing)成为众人关注焦点的部分在于:语音网钓(Vishing)、AI深伪(Deepfake)语音伪冒等新型态攻击。
虽然这类手法先前已在一些案例中浮现,但在语音网钓成功率更高的态势下,以及生成式AI快速发展的推波助澜下,再加上与传统钓鱼邮件、钓鱼网站的手法相互结合,使得这股威胁正急遽升温。
在2025年初,我们看到不少资安研究报告指出,语音网钓攻击近期呈现爆炸性成长。例如,资安业者CrowdStrike发布年度威胁报告中指出,语音网钓攻击行动需特别注意,自2024年下半年起有大幅增加趋势,每月经常达到50起以上,较上半年增加4.42倍;同时,这几年所有资安业者的年度威胁预测中,都强调AI语音伪冒技术愈趋成熟,新兴风险已然大增。
资安业者Crowdstrike发布2025全球威胁报告,当中揭露了语音网钓的最新变化,以2024上半年而言,每个月最多仅发现20起语音网钓活动,但下半年、尤其是第四季,数量动辄达到50起以上,比上半年增加了4.42倍。(图片来源/Crowdstrike)
距离现在两个多月前,也就是今年4月举行的台湾资安大会,Google Cloud专家在台发表的主题演说,更是提到两个重点:一是骇客使用AI帮助攻击的方式,目前最多用在社交工程手法的强化,另一是随著AI进步,以语音验证身分的方式现在就已不再可靠。
因此,这类风险攀升的情形,持续引起我们的高度关注,并成为本期封面故事探讨的重点。
毕竟,资安领域对语音网钓与AI 语音伪冒的警示声浪不断,但过往我们观察到,公开揭露的实际案例仍相对有限,导致大众对此的认知,可能仍停留在几年前引发关注的重大事件上。
如今,在我们深入追查下,发现2025年上半年相关攻击事件的数量,已有明显增加的态势,显示这类威胁正从过往的零星案例,可能逐步扩大为值得关注的常态风险。
例如,日本山形铁道公司被骗1亿日元,遭遇假冒当地山形银行客服的自动语音诈骗;新加坡与马来西亚的企业财务主管,也接连传出遭遇AI伪冒语音的诈骗攻击;义大利则出现冒用国防部长声音的诈骗事件;美国亦传出有白宫高级官员声音遭仿冒的语音网钓,FBI也还示警,攻击者会传送恶意连结来骗取系统登入资讯。
换言之,这些案例不仅反映出,语音网钓与AI语音伪冒手法的多样性与真实性,也突显全球有更多实际威胁与事件正持续发生。
对于国内企业而言,了解这些新兴攻击趋势已是刻不容缓。
语音网钓手法被应用在多种攻击情境,不同语系威胁亦浮现
关于语音网钓(Vishing),其名称是由Voice与Phishing两字组成,也就是涉及所有「语音」通讯管道的技术媒介,以及「网路钓鱼」这种与诈骗、社交工程、冒用身份的攻击手法。
简单来说,这是指攻击者透过电话或通讯软体等工具,发动社交工程攻击,诱骗受害者主动揭露机敏资讯或是执行不当操作。
值得注意的是,我们发现Vishing这样的攻击手法,近年被运用在许多不同攻击情境。例如:骗取员工帐密以获得存取权限,诱骗员工安装恶意程式以植入后门,利用这两种手法成为攻击活动初始入侵,另外也有锁定财务人员,直接骗取企业网路银行帐密的攻击样态。
更引发我们关注的是,锁定企业的语音网钓攻击,使用的语言不单只有英文,近期也出现在其他语言环境,显示威胁范围扩大。
到底威胁态势有何变化与发展?又有哪些实际案例?我们挑出近年几个重点关注事件,帮助大家快速了解这些攻击焦点的差异。
2020年 技术支援诈骗早年已然盛行,攻击者先用假防毒、假浏览器对话框或网钓邮件等方式,设法让使用者误以为自己中毒,并提供电话诱使用户拨打到假的客服中心。
而在COVID-19疫情之下,骇客组织Storm-1811的手法被多家资安业者揭露,该组织经常是先发动电子邮件轰炸攻击,再假扮成IT支援人员来接触受害者,还利用像是Microsoft Teams向目标用户发送讯息和通话,诱骗受害者透过Windows Quick Assist等工具,授予其设备远端存取权限,接著攻击者便可借由一系列入侵行动,于企业内部植入勒索软体。
还有不同骇客组织的攻击活动,是这波攻击发生于3月10日,根据山形银行指出,当地有多家山形县的公司在同一日遭遇这波攻击,我们追踪多则报导发现,山形铁道公司是唯一曝光的受害者。
这起语音网钓攻击有何不同?攻击者结合了自动语音系统电话与真人客服,假冒山形银行,声称要求更新企业网路银行资讯,并索取公司电子邮件寄送钓鱼信,再引导受害者至钓鱼页面输入敏感资讯,骗取公司的企业网银帐户与OTP硬体凭证,之后便会将企业银行帐户资金盗转。
换言之,这起攻击活动结合了语音网钓、钓鱼邮件、钓鱼网站,虽然不像前述事件针对员工的系统存取权限而来,但目标更具针对性,锁定的是负责企业网路银行帐户的公司财务人员。
随著山形银行揭露此事,相隔一两日,日本多家银行发布也警告,提醒注意针对企业网路银行的语音网钓,包括:特别的是,2025年还有更多资安业者与执法单位揭露涉及语音网钓的消息,其中两则攻击活动的揭露,相当引人注目。
一是发现骇客组织UNC6040不仅擅长发动语音网钓攻击,最终窃取大量资料来勒索企业,但其锁定目标有很大不同,是入侵企业使用的Salesforce系统。
另一是美国联邦调查局(FBI)于 6月28日示警,指出骇客组织Scattered Spider正用其擅长的手法,也就是针对IT支援服务台发动的语音网钓,将攻击范围扩大到航空业。其手法是假冒员工或第三方IT供应商身分,致电服务台要求重设密码,或是加入未授权的MFA装置。
实际上,从6月底到7月初,我们已经发现多家航空公司发布资安事故公告,包括美国夏威夷航空、加拿大西捷航空与澳洲航空等。
这显示该组织正将同一套手法,持续用于攻击到不同产业。从2023年针对饭店业的一连串攻击,到2025年初零售业受害,如今攻击触手更延伸至航空运输业,显示其攻击范围日益扩大,而且影响不只美国、加拿大、英国及澳洲,近日蔓延至新加坡与印度。
因此,多家资安业者对此态势也一再警告,企业需强化IT支援服务台的身分验证,例如在新增MFA装置、重设密码前,加强对员工或合约商身分的核验。
AI语音伪冒结合社交工程,诈骗手法更具迷惑性
更进一步来看,我们关注的是AI语音伪冒的技术,这是指透过AI技术仿制特定人物的声音的伎俩,得以进而发动社交工程、诈骗或其他恶意用途。
例如,窃取企业高层、公众人物或亲友声音后,便可以伪装成该名人士致电或留言,借此诱骗受害者误信,进一步骗取敏感资讯或金钱。
相较之下,普遍所指的语音网钓,伪冒对象多是泛指一种职业角色,像是假装技术支援部门人员、公司内部成员来电,或是外部银行客服、律师等身分来电,甚至用两通电话、两个角色让受害者上当。甚至,若是语音网钓结合AI语音伪冒伎俩,此类社交工程手法将更具欺骗性。
前几年,确实有两起轰动的重大资安事件,让各界首次深刻体认到AI语音伪冒已不再是科幻情节,而是能实际发动攻击的严重威胁。
然而,大众可能未曾注意到的是,如今事件已经越来越多。我们在2025年上半观察到更多此类事件,这是一个重要的讯号,显示全球都开始有这类威胁窜起的迹象。接下来让我们看看有哪些重要事件:
2019年 首次有AI语音伪冒的实际危害被揭露,华盛顿日报首先报导一起AI技术伪装老板声音指示汇钱的事件,受害者是一家英国能源公司的执行长,他误以为接到德国总部执行长的电话,因此被讹诈了22万欧元(约748万元)。
2024年 香港警方在年初揭露有跨国公司香港分行员工遭遇Deepfake诈骗,骇客寄送钓鱼邮件、以秘密交易为借口,假冒总部财务长召开视讯会议,透过伪冒的影像与声音来欺骗,导致员工依照假上级指示转帐,被骗走2亿港币(约8亿元),等到事后向总公司确认才发现受骗。同年5月,英国工程公司Arup坦承是这起事故的受害者。
这起事故的揭露,印证Deepfake技术可让北韩骇客BlueNoroff的攻击行动,指出攻击者透过Telegram网钓安排视讯会议,并在Zoom视讯中用AI深伪技术模仿其公司高层与外部合作伙伴,进而诱骗员工安装假的Zoom延伸套件,以在其电脑上安装恶意程式。
多元社交工程攻击结合,钓鱼诈骗更具欺骗性的时代已来临
上述这些事件,在在提醒著我们,攻击者语音网钓与AI语音伪冒的情形,比我们普遍所认知的要多。
对于企业而言,须了解近年网路攻击者的战术正经历显著转变。这些攻击者不再仅限于传统的电子邮件网钓,而是加入以往诈骗集团惯用管道,扩展了社交工程的攻击路径,涵盖语音网钓、简讯钓鱼、即时通讯网钓,甚至结合AI深伪假冒声音与影像等伎俩,并试图制造紧急情况,迫使受害者在慌乱中做出错误决定。
我们认为,这带来的冲击会远超过往,不仅是可以更主动诱使受害者开启钓鱼连结,甚至可能让传统网路钓鱼流程中的「钓鱼网站」,都不再是绝对必要环节。
更引发我们忧心的是,这种整合不仅是手段的扩充,也代表原有攻击模式的全面升级,攻击者利用多元网钓手法的相互结合,将能建立高度逼真、难以辨识的诈骗情境,大幅提升欺骗性。
语音网钓与AI语音伪冒的运用差异
语音网钓(Vishing),是Voice与Phishing的组合,也就是语音加网路钓鱼,基本上,是伪装成你(或企业员工)信任的其中一种角色,例如银行人员、公司人员、IT支援人员,不一定要用AI来伪装,因为对受害者来说,这些并非是自己既定认识的人。
至于AI伪冒,主要是用深度伪造(Deepfake)技术,进而复制模拟成逼真的人物声音或影像,因此还要搭配其他社交工程手法来行动。而在伪装目标上,攻击者虽然可用AI伪冒成不存在的人,但这作法仅是遮掩原本身分,一般而言,这类攻击伪冒对象会更具体,像是伪冒成有权威或影响力的人,或是伪装成认识的人,像是公司高层或同事,让受害者误以为他们正在与真正对方对话。
谈到这里,我们不禁想问,曾喧腾一时的SIM swapping攻击,也是语音网钓?
简单来说,SIM卡交换攻击是假冒受害者身份致电给电信公司,声称手机遗失、SIM卡损坏,希望将门号转移到新手机,也就是骇客控制的装置。过程中,骇客假冒用户打电话给电信客服人员,此环节的确像是语音网钓的一种形式,透过「语音」进行「钓鱼」(骗取资讯或达成目的),可运用Vishing或AI语音伪冒来骗取信任。
从更宏观的角度来看,SIM Swapping可说是针对服务商的一种KYC绕过手法,例如,过去曾发生诈骗集团假冒银行客户,打电话银行客服人员,声称要变更手机号码。而这些针对银行客服、电信客服伪冒客户的身分冒用,其攻击意图是窃取透过SMS发送给客户的OTP验证码。
至于假冒企业员工,致电给公司内部IT支援服务台,其目标仍是直接骗取员工系统存取权限,或绕过MFA的防护。