网络钓鱼一直是安全领域的一个突出话题,尽管这类诈骗形式已经存在了几十年,依旧是欺诈攻击或渗透组织的最有效方法之一。诈骗分子基于社会工程原理,通过邮件、网站以及电话、短信和社交媒体,利用人性(如冲动、不满、好奇心)的手段,冒充受信任的实体,诱使受害者点击虚假链接、下载恶意软件、诱导转移资金、提供账号密码等敏感数据行为。
随着技术的发展,网络钓鱼者也在改变策略,尤其在AI的帮助下,诈骗分子使用巧妙的社会工程技术和深度伪造技术欺骗受害者,让钓鱼攻击更加复杂,攻击极难检测。2023 年,深度伪造网络钓鱼欺诈事件激增了惊人的3,000%。
常见的几种深度伪造钓鱼形式
深度伪造网络钓鱼遵循与社会工程攻击相同的核心原则,通过多种不同的方式将深度伪造武器化。诈骗分子基于根据人们的特定兴趣、爱好和朋友网络,利用特定个人和组织独有的漏洞,通过深度伪造来创建高度个性化的攻击。不仅可以模仿某人的写作风格,更可以近乎完美的准确性克隆声音,同时能够创建人工智能生成的与人脸无法区分的人脸。尤其随着OpenAI宣布推出Sora,深度伪造技术正变得越来越复杂和容易获得。
伪造电子邮件。企业每年已经因电子邮件钓鱼欺诈损失数十亿美元,深度伪造让电子邮件网络钓鱼攻击更加危险,因为威诈骗分子可以使用他们的身份看起来更可信。例如,更容易创建虚假的企业高管个人资料,并利用它们来引诱员工。钓鱼邮件还会冒充重要客户公司的员工,并经常使用“请求”、“付款”和“紧急”等短语来诱使收件人点击。
伪造视频。诈骗分子可以通过 Zoom 通话使用视频深度伪造来吸引和说服受害者共享机密信息(例如凭据)或操纵他们进行未经授权的金融交易。
2024年1月,香港一家跨国公司员工遭遇钓鱼诈骗损失2亿港元。该员工收到一封伪装成公司总部CFO的电子邮件后,被邀请参加视频会议。会议中,除了该员工外,其他人均为“深度伪造”技术制作的虚假影像。诈骗分子利用这种方式,指示员工转账2亿港元至五个银行账户。
伪造语音消息。克隆任何人的声音都非常容易。诈骗分子常通过社交媒体上的视频片段提取语音样本,然后利用这些样本创建声音克隆,而且并不需要长时间的录音,仅需30秒到1分钟的样本,诈骗分子就能制作出高度逼真的声音克隆。这些深度伪造可用于留下语音邮件或让人们参与实时对话,进一步模糊了现实与欺骗之间的界限。据信,37% 的组织在 2022 年经历了深度伪造语音欺诈。
2023年12月,一名留学生在境外被“绑架”,父母遭“绑匪”索要500万元赎金,还收到了“肉票”被控制、伤害的视频。通过现场调查及国际警务合作,5个小时后,涉事留学生小贾被成功解救——不是从绑匪手中,而是在学校所在国的出入境口岸。真相也随之揭开:让小贾和父母经历惊心时刻的“绑架案”,其实是诈骗分子精心布设的骗局,是一起典型的针对留学生和家属的“虚拟绑架”诈骗。
深度伪造“加持”的网络钓鱼攻击才刚刚开始,企业和个人需要多重组合手段进行防范。例如,普及公众安全培训与教育,使用生物与活体验证,增加数字签名验证,加强设备与操作验证,使用多重身份验证 (MFA),增加账号验证频次,部署反欺诈系统验,在特定关系对象设的联系中设置特殊“安全词”。同时,用 AI技术对抗深度伪造钓鱼,实时关注网络钓鱼的最新威胁与变化等,以此降低深度伪造网络钓鱼带来的风险。