Tankeledere

Næste generations phishing: Opkomsten af AI Vishing-svindel

mm
Published
Updated

I cybersikkerhed kan de online trusler, som AI udgør, have meget konkrete konsekvenser for både enkeltpersoner og organisationer verden over. Traditionelle phishing-svindel er udviklet gennem misbrug af AI-værktøjer og er blevet mere hyppige, sofistikerede og sværere at opdage med hver eneste år, der går. AI Vishing er måske den mest bekymrende af disse udviklinger.

Hvad er AI Vishing?

AI Vishing er en udvikling af voice phishing (vishing), hvor angribere efterligner troværdige personer, såsom bankrepræsentanter eller teknisk supporthold, for at narre ofre til at udføre handlinger som overførsel af midler eller give adgang til deres konti.

AI forbedrer vishing-svindel med teknologier, herunder voice cloning og deepfakes, der efterligner stemmer fra troværdige personer. Angribere kan bruge AI til at automatisere telefonopkald og samtaler, hvilket giver dem mulighed for at målrette store mængder af mennesker på relativt kort tid.

AI Vishing i den virkelige verden

Angribere bruger AI Vishing-teknikker uden diskrimination, målrettende både sårbare enkeltpersoner og virksomheder. Disse angreb har vist sig at være bemærkelsesværdigt effektive, og antallet af amerikanere, der har tabt penge på vishing, er steget med 23% fra 2023 til 2024. For at sætte dette i perspektiv vil vi udforske nogle af de mest prominente AI Vishing-angreb, der har fundet sted de seneste par år.

Italiensk forretnings-svindel

I begyndelsen af 2025 brugte svindlere AI til at efterligne stemmen fra den italienske forsvarsminister, Guido Crosetto, i et forsøg på at svindel nogle af Italiens mest prominente forretningsledere, herunder modedesigneren Giorgio Armani og medstifteren af Prada, Patrizio Bertelli.

Under påstand om at være Crosetto hævdede angriberne, at de havde brug for øjeblikkelig finansielle hjælp til at frigøre en kidnappet italiensk journalist i Mellemøsten. Kun ét mål faldt for svindlen i dette tilfælde – Massimo Moratti, tidligere ejer af Inter Milan – og politiet formåede at tilbageføre de stjålne midler.

Hoteller og rejsefirmaer under belejring

Ifølge The Wall Street Journal oplevede det sidste kvartal af 2024 en betydelig stigning i AI Vishing-angreb mod hotel- og rejseindustrien. Angribere brugte AI til at efterligne rejseagenter og virksomhedsledere for at narre hotelreceptionister til at afsløre følsomme oplysninger eller give ubeføjede adgang til systemer.

De gjorde dette ved at instruere travle kundeservicemedarbejdere, ofte under peak-operationstider, om at åbne en e-mail eller browser med en skadelig vedhæftning. På grund af den bemærkelsesværdige evne til at efterligne partnere, der arbejder med hotellet gennem AI-værktøjer, blev telefonsvindel betragtet som “en konstant trussel”.

Romance-svindel

I 2023 brugte angribere AI til at efterligne stemmer fra familiemedlemmer i nød og svindel ældre personer for omkring 200.000 dollars. Svindelopkald er svære at opdage, især for ældre mennesker, men når stemmen i den anden ende af telefonen lyder præcis som en familiemedlem, er de næsten umulige at opdage. Det er værd at bemærke, at dette tilfælde fandt sted for to år siden – AI-stemme-kloning er blevet endnu mere avanceret siden da.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS) har været en stor bidragsyder til AI Vishings vækst de seneste par år. Disse abonnementsmodeller kan omfatte spoofing-kapaciteter, brugergenererede prompts og tilpasningsdygtige agenter, der giver mulighed for, at dårlige aktører kan lancerer AI Vishing-angreb i stor målestok.

Hos Fortra har vi fulgt PlugValley, en af de nøgleaktører på markedet for AI Vishing-as-a-Service. Disse bestræbelser har givet os indsigt i trusselsgruppen og, måske endnu vigtigere, gjort det klart, hvor avanceret og sofistikeret vishing-angreb er blevet.

PlugValley: AI VaaS afsløret

PlugValleys vishing-bot giver trusler mulighed for at udrulle livagtige, tilpasselige stemmer for at manipulere potentielle ofre. Bot’en kan tilpasse sig i realtid, efterligne menneskelige talepatterns, spoofe opkalds-ID’er og tilføje baggrundsstøj fra callcenter til stemmeopkald. Det gør AI Vishing-svindel så overbevisende som muligt og hjælper cyberkriminelle med at stjæle bankoplysninger og en-gangs-adgangskoder (OTPs).

PlugValley fjerner tekniske barrierer for cyberkriminelle og tilbyder skalerbar svindelsteknologi ved et knappeklik for nominelle månedlige abonnementer.

AI VaaS-udbydere som PlugValley driver ikke bare svindel; de industrialiserer phishing. De repræsenterer den seneste udvikling i social engineering, der giver cyberkriminelle mulighed for at våbenisere machine learning-værktøjer og udnytte mennesker i stor målestok.

Beskyttelse mod AI Vishing

AI-drevne social engineering-teknikker, såsom AI Vishing, er sat til at blive mere almindelige, effektive og sofistikerede i de kommende år. Derfor er det vigtigt, at organisationer implementerer proaktive strategier som medarbejderbevidsthedstræning, forbedret svindeldetektionssystemer og realtids-trusselsintelligens.

På et individuelt niveau kan følgende vejledning hjælpe med at identificere og undgå AI Vishing-forsøg:

  • Vær skeptisk over for uanmodede opkald: Vær forsigtig med uventede telefonopkald, især hvis de kræver personlige eller finansielle oplysninger. Ægte organisationer beder normalt ikke om følsomme oplysninger over telefonen.
  • Verificér opkalders identitet: Hvis en opkalders påstår at repræsentere en kendt organisation, verificér deres identitet uafhængigt ved at kontakte organisationen direkte ved hjælp af officielle kontaktoplysninger. WIRED foreslår at oprette en hemmelig adgangskode med din familie for at afsløre Vishing-angreb, der påstår at være fra en familiemedlem.
  • Begræns oplysningernes deling: Undlad at afsløre personlige eller finansielle oplysninger under uanmodede opkald. Vær særligt forsigtig, hvis opkalders skaber en fornemmelse af hast eller true med negative konsekvenser.
  • Undervis dig selv og andre: Hold dig informeret om almindelige Vishing-taktikker og del denne viden med venner og familie. Bevidsthed er en kritisk forsvar mod sociale engineering-angreb.
  • Rapportér mistænkelige opkald: Underret relevante myndigheder eller forbrugerbeskyttelsesorganisationer om Vishing-forsøg. Rapportering hjælper med at spore og mindske svindelaktiviteter.

Ifølge alle tegn er AI Vishing her for at blive. Faktisk er det sandsynligt, at det vil fortsætte med at øge i volumen og forbedre sig i udførelse. Med udbredelsen af deepfakes og let adgang til kampanje-adoptionsmodeller burde organisationer forvente, at de på et tidspunkt vil blive målrettet med et angreb.

Medarbejderundervisning og svindeldetektion er nøglefaktorer i forberedelsen til og forebyggelsen af AI Vishing-angreb. Sophisticerede AI Vishing kan føre selv godt trænede sikkerhedsprofessionelle til at tro på åbenbart ægte anmodninger eller narrativer. Derfor er en omfattende, lagdelt sikkerhedsstrategi, der integrerer tekniske sikkerhedsforanstaltninger med en konsekvent informeret og vagt arbejdsstyrke, essentiel for at mindske risikoen for AI-phishing.

mm

Alexis Ober er en truslenintelligensanalytiker hos den globale cybersecurity software- og servicesudbyder Fortra, og bringer omfattende erfaring med svigagtige undersøgelser og forskningsanalyse. Hun har en stærk baggrund i at identificere svig, spild og misbrug inden for sundhedssektoren, efter at have arbejdet i både offentlige og private organisationer.