Ajatusjohtajat

Seuraavan sukupolven Phishing: AI Vishing -huijaukset

mm
Published
Updated

KyberTurvallisuudessa, verkossa olevat uhkat, joita AI voi aiheuttaa, voivat olla hyvin materiaalisia vaikutuksia yksilöille ja organisaatioille ympäri maailmaa. Perinteiset Phishing-huijaukset ovat kehittyneet AI-työkalujen väärinkäytön kautta, ja ne ovat kasvaneet yhä useammaksi, monimutkaisemmaksi ja vaikeammin havaittavaksi joka vuosi. AI Vishing on ehkä huolestuttavin näistä kehittyvistä tekniikoista.

Mikä on AI Vishing?

AI Vishing on äänifishingin (vishing) evoluutio, jossa hyökkääjät esittävät luotettavia yksilöitä, kuten pankin edustajia tai teknisen tuen tiimejä, jotta uhrit suorittavat toimintoja, kuten rahojen siirtämistä tai pääsyä heidän tileihinsä.

AI parantaa vishing-huijauksia teknologioilla, kuten äänen kloonaus ja deepfake, jotka jäljittelevät luotettujen yksilöiden ääniä. Hyökkääjät voivat käyttää AI:ta automatisoimaan puheluita ja keskusteluita, mikä mahdollistaa heidän kohdistaa suuren määrän ihmisiä suhteellisen lyhyessä ajassa.

AI Vishing todellisessa maailmassa

Hyökkääjät käyttävät AI Vishing -tekniikoita valikoimattomasti, kohdistamalla kaikenkokoisia yksilöitä ja yrityksiä. Nämä hyökkäykset ovat osoittautuneet erittäin tehokkaiksi, ja Yhdysvalloissa vishingin kautta rahaa menettäneiden määrä kasvoi 23% vuodesta 2023 vuoteen 2024. Tämän kontekstin ymmärtämiseksi tarkastelemme joitain viime vuosien merkittävimmista AI Vishing -hyökkäyksistä.

Italian Liiketoimintahuijaus

Alkuvuonna 2025 huijarit käyttivät AI:ta jäljittelemään Italian puolustusministeri Guido Crosetton ääntä yrittääkseen huijata joitain Italian johtavista liiketoimintajohtajista, mukaan lukien muotisuunnittelija Giorgio Armani ja Pradan perustaja Patrizio Bertelli.

Esittäessään Crosettoa hyökkääjät väittivät tarvitsevansa kiireellistä taloudellista apua italian journalistin vapauttamiseksi Lähi-Idästä. Vain yksi kohde, Massimo Moratti, entinen Inter Milanin omistaja, uskoi huijaukseen, ja poliisi onnistui palauttamaan varastetut varat.

Hotellit ja matkailuyritykset piiritettyinä

Wall Street Journalin mukaan vuoden 2024 viimeisen neljänneksen aikana havaittiin merkittävä kasvu AI Vishing -hyökkäyksissä hotelli- ja matkailualalla. Hyökkääjät käyttivät AI:ta esittääkseen matkailuagentteja ja yritysjohtajia huiatakseen hotellin vastaanottovirkailijoita paljastamaan arkaluontoista tietoa tai antamaan laitonta pääsyä järjestelmiin.

He tekivät tämän ohjaamalla kiireisiä asiakaspalveluedustajia, usein ruuhka-aikana, avaamaan sähköpostin tai selaimen, jossa oli haitallinen liite. Koska AI-työkalut pystyvät jäljittelemään hotellin kanssa työskenteleviä kumppaneita, puhelinhuijaukset olivat “jatkuva uhka”.

Romanssihuijaukset

Vuonna 2023 hyökkääjät käyttivät AI:ta jäljittelemään perheenjäsenien ääniä huiatakseen vanhuksia noin 200 000 dollarin edestä. Puheluhuijaukset ovat vaikeita havaittaviksi, erityisesti vanhemmille ihmisille, mutta kun puhelimen toisessa päässä oleva ääni kuulostaa täsmälleen perheenjäseneltä, ne ovat melkein havaitsemattomia. On huomionarvoista, että tämä tapahtuma tapahtui kaksi vuotta sitten – AI-äänenkloonaus on kehittynyt entisestään sen jälkeen.

AI Vishing-palvelu

AI Vishing-palvelu (VaaS) on ollut tärkeä tekijä AI Vishingin kasvussa viime vuosina. Nämä tilausmallit voivat sisältää spoofausominaisuuksia, mukautettuja ohjelmia ja sopeutuvia agenteja, mikä mahdollistaa pahantahtoisten toimijoiden käynnistää AI Vishing -hyökkäyksiä laajassa mittakaavassa.

Fortrassa olemme seuranneet PlugValleya, yhtä AI Vishing-palvelun avainpelaajia. Nämä pyrkimykset ovat antaneet meille tietoa uhkaryhmästä ja, ehkä tärkeämpää, osoittaneet, kuinka kehittyneitä ja monimutkaisia vishing-hyökkäykset ovat.

PlugValley: AI VaaS paljastettu

PlugValleyn vishing-botti sallii uhkaavien toimijoiden käyttää elävänoloisia, mukautettavissa olevia ääniä manipuloidakseen potentiaalisia uhreja. Botti voi sopeutua reaaliajassa, jäljitellä ihmisen puhetapoja, väärentää soittajan tunnistetta ja jopa lisätä taustamelua puheluihin. Se tekee AI Vishing -huijauksista mahdollisimman vakuuttavia, auttaen kyberrikollisia varastamaan pankkitunnukset ja yksikertaiset salasanat (OTPs).

PlugValley poistaa tekniset esteet kyberrikollisilta, tarjoamalla skaalautuvan petosteknologian yhdellä klikkauksella vähäisiin kuukausimaksuihin.

AI VaaS -tarjoajat, kuten PlugValley, eivät ainoastaan pyöritä huijauksia, vaan tehostavat Phishingiä. He edustavat viimeisintä kehitysvaihetta sosiaali-insinööritalossa, joka mahdollistaa kyberrikollisille aseistaa koneoppimisen työkaluja ja hyödyntää ihmisiä laajassa mittakaavassa.

Suojaaminen AI Vishingiltä

AI-käyttöiset sosiaali-insinööritekniikat, kuten AI Vishing, tulevat yleistymään, tehokkaampia ja monimutkaisempia tulevina vuosina. Sen vuoksi on tärkeää, että organisaatiot toteuttavat proaktiivisia strategioita, kuten työntekijöiden tietoisuuskoulutusta, parannettuja petostentunnistusjärjestelmiä ja reaaliaikaisia uhkien tunnistamista,

Yksilöllisellä tasolla seuraavat ohjeet voivat auttaa tunnistamaan ja välttämään AI Vishing -yrityksiä:

  • Ole epäluuloinen odottamattomia puheluita kohtaan: Osoita varovaisuutta odottamattomia puheluita kohtaan, erityisesti niitä, jotka pyytävät henkilökohtaisia tai taloudellisia tietoja. Legitiimit organisaatiot eivät yleensä pyydä arkaluontoisia tietoja puhelimitse. ​
  • Tarkista soittajan identiteetti: Jos soittaja väittää edustavansa tunnettua organisaatiota, tarkista heidän identiteettinsä ottamalla yhteyttä organisaatioon suoraan virallisen yhteystiedon kautta. ​WIRED suosittelee salasanan luomista perheenjäsenen kanssa vishing-hyökkäyksien havaitsemiseksi, jotka väittävät olevansa perheenjäsen.
  • Rajoita tietojen jakoa: Vältä paljastamasta henkilökohtaisia tai taloudellisia tietoja odottamattomissa puheluita. Ole erityisen varovainen, jos soittaja luo kiireellisyyden tai uhkaa kielteisiä seurauksia. ​
  • Kouluta itsesi ja muita: Pidä itsesi perillä yleisistä vishing-taktiikoista ja jaa tietämys ystäviesi ja perheesi kanssa. Tietoisuus on kriittinen puolustus sosiaali-insinööritaktiikoita vastaan.​
  • Ilmoita epäilyttävistä puheluista: Ilmoita asiaa koskeville viranomaisille tai kuluttajansuojeluvirastoille vishing-yrityksistä. Ilmoittaminen auttaa jäljittämään ja hillitsemään petollisia toimia.

Kaiken näkökulmasta AI Vishing on täällä pysyvästi. Se on todennäköistä, että se jatkuu kasvamistaan ja parantaa toteutustaan. Deepfake- ja helppokäyttöisten kampanjamallien yleistyessä organisaatioiden tulisi odottaa, että heitä kohdistetaan jossain vaiheessa hyökkäykselle.

Työntekijöiden koulutus ja petosten havaitseminen ovat avainasemassa AI Vishing -hyökkäysten valmisteluun ja estämiseen. AI Vishingin monimutkaisuus voi johtaa jopa hyvin koulutettujen turvallisuusammattilaisten uskomaan näennäisesti aidosti pyynnöille tai kertomuksille. Sen vuoksi kattava, kerroksellinen turvallisuusstrategia, joka yhdistää teknologiset suojaukset jatkuvasti tietoisella ja valppaalla työvoimalla, on olennainen AI-phishingin aiheuttamien riskien vähentämiseksi.

mm

Alexis Ober on uhkienhallintatutkija maailmanlaajuisessa kyberTurvallisuuden ohjelmisto- ja palveluntarjoajassa Fortra, ja hÀnellÀ on laaja kokemus petosten tutkimisesta ja tutkimusanalyysistÀ. HÀnellÀ on vahva tausta petosten, tuhlaamisen ja vÀÀrinkÀytön tunnistamisessa terveydenhuoltoalalla, ja hÀn on työskennellyt sekÀ julkisissa ettÀ yksityisissÀ organisaatioissa.