目前電子郵件網路釣魚攻擊激增35%,但網路犯罪分子已經開始另謀出路,轉向更復雜的語音技術,使用先進的Deepfake和語音模擬技術繞過語音授權機制,對使用者發起語音釣魚攻擊。
數字風險保護公司Digital Shadows的研究部門Photon Research Team告訴資訊保安媒體集團,網路犯罪分子正在將語音釣魚提升到一個新的水平,使用Deepfake音訊或影片技術,使冒充看起來儘可能可信。
網路犯罪分子將商用Deepfake和語音模擬工具結合
研究人員表示,在 Deepfake 音訊技術的幫助下,威脅行為者現在可以冒充目標並繞過語音身份驗證機制等安全措施來授權欺詐或欺騙受害者的聯絡人以收集有價值的情報。
越來越多的銀行正在使用語音授權來驗證客戶身份。根據生物識別研究機構更新的一份報告,語音生物識別市場正以22。8%的複合年增長率增長,到2026年將達到39億美元。
Photon研究人員觀察到,攻擊者經常以銀行賬戶持有人為目標,預先錄製聲稱來自他們的銀行的訊息,敦促他們透過電話提供賬戶憑據。
雖然語音釣魚並不新鮮,但Photon研究人員指出,Deepfake技術的進步使語音釣魚嘗試看起來比以往任何時候都更加可信。
研究人員告訴ISMG,深度學習AI技術可以建立非常逼真的深度造假,但補充說,模仿的成本與其可信度一致。
成本障礙能否阻止較小的網路犯罪集團採取行動?
研究人員說,“如果攻擊者在攻擊的偵察階段獲得正確的樣本,他們可能不需要語音模擬工具,這對於許多網路犯罪分子來說過於昂貴和複雜。相反,攻擊者可以編輯他們的樣本以產生他們正在尋找的任何聲音。
安全措施可能要求身份驗證者說出他們的姓名,出生日期或預定短語。在這種情況下,攻擊者需要做的就是播放預先錄製的短語。
研究人員發現了一個威脅行為者,宣傳一種語音釣魚服務,該服務可以建立,克隆和託管定製的語音機器人,包括”複雜的電話互動式響應系統“。與釣魚相關的服務的基本價格為1000美元。額外的定製需要額外的成本。
網路犯罪分子如何使用語音釣魚
”Deepfake技術可以實時改變或克隆聲音,從而對一個人的聲音進行人工模擬,“Photon研究人員說。
研究人員表示,為了選擇目標,網路犯罪分子使用開源情報技術,對開放埠和易受攻擊的裝置進行主動和被動掃描,或者篩選包含受損憑據的洩漏的資料庫。
研究人員表示,在瞄準目標後,攻擊者可能會冒充買家與目標組織中的權威人士交談,並提出的問題以引發語音樣本。他們可能會記錄對話,並將樣本用作參考,以便以後模仿或拼接。
有時,簡單的語音冒充被證明是不夠的,Photon Research團隊引用了一個例項,其中當目標公司指示攻擊者將文件傳送到公司電子郵件ID時,嘗試的語音釣魚攻擊遇到了障礙。
面對意想不到的障礙,攻擊者提出向犯罪論壇上的社會工程師支付1,000盧布, 大約13。5美元 ,他們可以欺騙受害者點選他或她將在電話上收到的連結。當語音釣魚攻擊與常規網路釣魚攻擊結合使用時,研究人員稱之為”混合策略“ 。
研究人員強調了2020年的大規模混合行動,其中攻擊者透過聲稱自己是IT支援來瞄準公司的新員工,並提供解決VPN訪問問題。攻擊者透過”故障排除“電話或讓他們在欺騙性的VPN訪問門戶上輸入憑據,成功地獲得了毫無戒心的新員工的VPN憑據。
商用化語音模擬工具
Photon Research團隊表示,他們遇到了網路犯罪分子,他們正在討論一種商用軟體,該軟體用於改變聲音,以改善角色扮演遊戲或RPG中的人機互動。
高階軟體,如AV語音轉換器軟體,可以以$ 99。95的價格購買,而其他軟體如Voicemod則免費提供。
Photon Research團隊表示,Deepfake技術和語音模擬工具不僅用於傳播網路攻擊,還用於傳播虛假資訊。當局並沒有忽視這一點。
據CNN Business報道,五角大樓透過國防高階研究計劃局(DARPA)正在與主要研究機構合作開發檢測Deepfake的技術。
原文轉自inforisktoday,作者蘇米克·戈什,超級科技譯,合作站點轉載請註明出處和原文譯者為超級科技!
Hi,我是超級科技
超級科技是資訊保安專家,能無上限防禦DDos攻擊和CC攻擊,阿里雲戰略合作伙伴!
