Tankeledere

Neste-Gen Phishing: Oppsvinget av AI Vishing-svindel

mm
Published
Updated

I cybersikkerhet kan de nettbaserte truslene som AI kan utgjøre, ha svært konkrete konsekvenser for enkeltpersoner og organisasjoner over hele verden. Tradisjonelle phishing-svindel har utviklet seg gjennom misbruk av AI-verktøy, og blir mer hyppige, sofistikerte og vanskeligere å oppdage med hver enkelt år som går. AI-vishing er kanskje den mest bekymringsverdige av disse utviklingsteknikkene.

Hva er AI Vishing?

AI-vishing er en utvikling av voice phishing (vishing), der angripere forkler seg som betrodde personer, som for eksempel bankrepresentanter eller teknisk supportteam, for å lure ofre til å utføre handlinger som overføring av midler eller gi tilgang til sine kontoer.

AI forbedrer vishing-svindel med teknologier som inkluderer voice cloning og deepfakes som etterligner stemmene til betrodde personer. Angripere kan bruke AI til å automatisere telefonoppringer og samtaler, og låte dem målrette store grupper av mennesker på en relativt kort tid.

AI Vishing i den virkelige verden

Angripere bruker AI-vishing-teknikker uten å skille mellom mål, og målretter både sårbare enkeltpersoner og bedrifter. Disse angrepene har vist seg å være svært effektive, og antallet amerikanere som har tapt penger på grunn av vishing har økt med 23% fra 2023 til 2024. For å sette dette i perspektiv, vil vi se på noen av de mest profilerte AI-vishing-angrepene som har funnet sted de siste årene.

Italiensk forretnings-svindel

Tidlig i 2025, svindlere brukte AI til å etterligne stemmen til den italienske forsvarsministeren, Guido Crosetto, i et forsøk på å svindel noen av Italias mest fremtredende forretningsledere, inkludert motedesigneren Giorgio Armani og Prada-grunnleggeren Patrizio Bertelli.

Under forkledning som Crosetto, hevdet angriperne at de trengte øyeblikkelig finansiell hjelp for å frigjøre en kidnappet italiensk journalist i Midtøsten. Bare ett mål falt for svindelen i dette tilfelle – Massimo Moratti, tidligere eier av Inter Milan – og politiet klarte å gjenvinne de stjålne midlene.

Hoteller og reisebedrifter under beleiring

Ifølge Wall Street Journal, så det siste kvartalet av 2024 en betydelig økning i AI-vishing-angrep på hotell- og reiseindustrien. Angripere brukte AI til å forkle seg som reiseagenter og bedriftsledere for å lure hotellresepsjonsansatte til å avsløre følsomme opplysninger eller gi ubeføyet tilgang til systemer.

De gjorde dette ved å dirigere travle kundeservicerepresentanter, ofte under toppen av driftstiden, til å åpne en e-post eller nettleser med en skadelig vedlegg. På grunn av den bemerkelsesverdige evnen til å etterligne partnere som samarbeider med hotellet gjennom AI-verktøy, ble telefon-svindel ansett som en “konstant trussel”.

Romance-svindel

I 2023, angripere brukte AI til å etterligne stemmene til familiemedlemmer i nød og svindlet eldre enkeltpersoner for om lag 200 000 dollar. Svindel-telefoner er vanskelige å oppdage, spesielt for eldre mennesker, men når stemmen på den andre enden av telefonen lyder eksakt som en familiemedlem, er de nesten umulige å oppdage. Det er verdt å merke seg at dette hendte for to år siden – AI-stemme-etterligning har blitt enda mer sofistisert siden da.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS) har vært en stor bidragsyter til AI-vishings vekst de siste årene. Disse abonnementsmodellene kan inkludere spoofing-kapasiteter, tilpassede prompter og adaptable agenter, og lar onde aktører lansere AI-vishing-angrep i stor skala.

Fortra, har vi sporet PlugValley, en av nøkkelaktørene i AI Vishing-as-a-Service-markedet. Disse innsatsene har gitt oss innsikt i trusselgruppen og, kanskje enda viktigere, gjort det klart hvor avansert og sofistisert vishing-angrep har blitt.

PlugValley: AI VaaS avdekket

PlugValleys vishing-bot lar trusselaktører utplassere livlige, tilpassbare stemmer for å manipulere potensielle ofre. Boten kan tilpasse seg i sanntid, etterligne menneskelige talemønster, spoofe oppringers ID og til og med legge til call center-bakgrunnsstøy til taleoppringer. Den gjør AI-vishing-svindel så overbevisende som mulig, og hjelper cyberkriminelle til å stjele banklegitimasjoner og en-gangs-passord (OTPs).

PlugValley fjerner tekniske barrierer for cyberkriminelle, og tilbyr skalerbar svindelteknologi ved et knappetrykk for nominelle månedlige abonnementsavgifter.

AI VaaS-tilbydere som PlugValley driver ikke bare svindel; de industrialiserer phishing. De representerer den siste utviklingen av sosial ingeniring, og lar cyberkriminelle våpenere maskinlæring (ML)-verktøy og utnytte mennesker i stor skala.

Beskytte deg mot AI Vishing

AI-drevne sosiale ingenøringsteknikker, som AI-vishing, vil bli mer vanlige, effektive og sofistikerte i årene som kommer. Derfor er det viktig for organisasjoner å implementere proaktive strategier som ansattopplæring, forbedret svindeldeteksjonssystemer og sanntids trusselintelligens,

På et individuelt nivå kan følgende retningslinjer hjelpe med å identifisere og unngå AI-vishing-forsøk:

  • Vær skeptisk til uventede telefoner: Øv nøkternhet med uventede telefoner, spesielt de som ber om personlige eller finansielle detaljer. Legitime organisasjoner ber vanligvis ikke om følsomme opplysninger over telefonen. ​
  • Verifiser oppringers identitet: Hvis en oppringer hevder å representere en kjent organisasjon, verifiser deres identitet uavhengig ved å kontakte organisasjonen direkte ved hjelp av offisielle kontaktinformasjon. ​WIRED foreslår å opprette en hemmelig passord med din familie for å oppdage vishing-angrep som hevder å være fra en familiemedlem.
  • Begrens informasjonsdeling: Unngå å avsløre personlige eller finansielle opplysninger under uventede telefoner. Vær spesielt forsiktig hvis oppringeren skaper en følelse av hastverk eller true med negative konsekvenser. ​
  • Utdann deg selv og andre: Hold deg informert om vanlige vishing-taktikker og del denne kunnskapen med venner og familie. Bevissthet er en kritisk forsvar mot sosiale ingenøringangrep.​
  • Rapporter mistenkelige telefoner: Informer relevante myndigheter eller forbrukerbeskyttelsesbyråer om vishing-forsøk. Rapportering hjelper med å spore og mildne svindelaktiviteter.

Ifølge alle tegn, er AI-vishing her for å bli. Faktisk er det sannsynlig at det vil fortsette å øke i volum og forbedre utførelse. Med utbredelsen av deepfakes og lett kampanje-tilpasning med as-a-service-modeller, bør organisasjoner forvente at de vil, på et tidspunkt, bli målrettede med et angrep.

Ansattopplæring og svindeldeteksjon er nøkkel til å forberede seg på og forebygge AI-vishing-angrep. Sofistikasjonen av AI-vishing kan føre selv godt trente sikkerhetsproffesionelle til å tro på åpenbart autentiske forespørsler eller narrativer. Derfor er en komprehensiv, lagd sikkerhetsstrategi som integrerer tekniske sikkerhetstiltak med en konsekvent informert og våken arbeidsstyrke essensiell for å mildne risikoen som AI-phishing utgjør.

mm

Alexis Ober er en trusselintelligensanalytiker hos den globale leverandøren av cybersikkerhetsprogramvare og -tjenester Fortra, og bringer omfattende erfaring med svindelforsking og forskningsanalyse. Hun har en sterk bakgrunn i å identifisere svindel, kriminalitet og misbruk innen helsevesenet, etter å ha arbeidet både i offentlige og private organisasjoner.