Următoarea generație de phishing: Ascensiunea scamurilor de vishing cu IA

În securitatea cibernetică, amenințările online generate de IA pot avea impacturi foarte concrete asupra indivizilor și organizațiilor din întreaga lume. Scamurile de phishing tradiționale s-au evoluat prin abuzul de unelte de IA, devenind mai frecvente, mai sofisticate și mai greu de detectat cu fiecare an care trece. Vishing-ul cu IA este, probabil, cea mai îngrijorătoare dintre aceste tehnici în evoluție.

Ce este vishing-ul cu IA?

Vishing-ul cu IA este o evoluție a phishing-ului vocal (vishing), în care atacatorii se prezintă ca indivizi de încredere, cum ar fi reprezentanți ai băncilor sau echipe de suport tehnic, pentru a păcăli victimele să efectueze acțiuni precum transferul de fonduri sau acordarea accesului la conturi.

IA îmbunătățește scamurile de vishing cu tehnologii care includ clonarea vocii și deepfake-urile care imită vocile unor indivizi de încredere. Atacatorii pot utiliza IA pentru a automatiza apelurile telefonice și conversațiile, permițându-le să vizeze un număr mare de oameni într-un timp relativ scurt.

Vishing-ul cu IA în lumea reală

Atacatorii utilizează tehnici de vishing cu IA în mod indiscriminat, vizând pe toată lumea, de la indivizi vulnerabili la întreprinderi. Aceste atacuri s-au dovedit a fi remarabil de eficiente, numărul americanilor care au pierdut bani din cauza vishing-ului crescând cu 23% de la 2023 la 2024. Pentru a pune această informație în context, vom explora unele dintre cele mai cunoscute atacuri de vishing cu IA care au avut loc în ultimii ani.

Scamul italian de afaceri

La începutul anului 2025, scamatorii au utilizat IA pentru a imita vocea ministrului italian al Apărării, Guido Crosetto, în încercarea de a păcăli unii dintre cei mai importanți lideri de afaceri italieni, inclusiv designerul de modă Giorgio Armani și cofondatorul Prada, Patrizio Bertelli.

Prezentându-se ca Crosetto, atacatorii au pretins că au nevoie de asistență financiară urgentă pentru eliberarea unui jurnalist italian răpit în Orientul Mijlociu. Doar una dintre ținte a căzut victimă scamului în acest caz – Massimo Moratti, fostul proprietar al Inter Milan – și poliția a reușit să recupereze fondurile furate.

Hoteluri și firme de călătorii sub asediu

Conform The Wall Street Journal, ultimul trimestru al anului 2024 a înregistrat o creștere semnificativă a atacurilor de vishing cu IA asupra industriei ospitalității și a călătoriilor. Atacatorii au utilizat IA pentru a se prezenta ca agenți de călătorie și executivi corporativi pentru a păcăli personalul de la recepția hotelurilor să divulge informații sensibile sau să acorde acces neautorizat la sisteme.

Au făcut acest lucru prin direcționarea reprezentanților de servicii clienți, adesea în timpul orelor de vârf de operare, pentru a deschide un e-mail sau o pagină web cu o atașare malignă. Din cauza capacității remarcabile de a imita parteneri care lucrează cu hotelul prin intermediul uneltelor de IA, scamurile telefonice au fost considerate “o amenințare constantă”.

Scamuri de romantism

În 2023, atacatorii au utilizat IA pentru a imita vocile rudelor în nevoie și a păcăli bătrâni din cauza a aproximativ 200.000 de dolari. Apelurile de scam sunt dificil de detectat, în special pentru persoanele în vârstă, dar atunci când vocea de la celălalt capăt al liniei sună exact ca un membru al familiei, acestea sunt aproape indetectabile. Este important de remarcat că acest incident a avut loc în urmă cu doi ani – clonarea vocală cu IA a devenit și mai sofisticată de atunci.

Vishing cu IA ca serviciu

Vishing-ul cu IA ca serviciu (VaaS) a fost un contributor major la creșterea vishing-ului cu IA în ultimii ani. Aceste modele de abonament pot include capacități de spoofing, prompturi personalizate și agenți adaptați, permițând actorilor răi să lanseze atacuri de vishing cu IA la scară largă.

La Fortra, am urmărit PlugValley, unul dintre principalii jucători pe piața Vishing-ului cu IA ca serviciu. Aceste eforturi ne-au oferit insight în grupul de amenințare și, poate mai important, au făcut clar cât de avansate și sofisticate au devenit atacurile de vishing.

PlugValley: Vishing cu IA ca serviciu dezvăluit

Botul de vishing al PlugValley permite actorilor de amenințare să deploieze voci realiste și personalizabile pentru a manipula potențialele victime. Botul poate adapta în timp real, imita modelele de vorbire umană, spoofa ID-urile apelatorilor și adăuga chiar și zgomot de fundal de la centrul de apel la apelurile vocale. Acesta face ca scamurile de vishing cu IA să fie cât mai convingătoare, ajutând criminalii cibernetici să fure credențiale de bancă și parole cu o singură utilizare (OTPs).

PlugValley elimină barierele tehnice pentru criminalii cibernetici, oferind tehnologie de fraudă scalabilă la un clic, pentru abonamente lunare nominale.

Furnizorii de Vishing cu IA, cum ar fi PlugValley, nu numai că rulează scamuri, dar industrializează și phishing-ul. Ei reprezintă cea mai recentă evoluție a ingineriei sociale, permițând criminalilor cibernetici să folosească unelte de machine learning (ML) și să profite de oameni la scară largă.

Protejarea împotriva vishing-ului cu IA

Tehnicile de inginerie socială bazate pe IA, cum ar fi vishing-ul cu IA, vor deveni mai frecvente, mai eficiente și mai sofisticate în anii următori. Prin urmare, este important ca organizațiile să implementeze strategii proactive, cum ar fi instruirea angajaților, sisteme îmbunătățite de detectare a fraudei și informații despre amenințări în timp real,

La nivel individual, următoarele sfaturi pot ajuta la identificarea și evitarea încercărilor de vishing cu IA:

• Fii sceptic față de apelurile nesolicitate: Exercitați prudență cu apelurile telefonice neașteptate, în special cele care solicită informații personale sau financiare. Organizațiile legitime nu solicită, de obicei, informații sensibile prin telefon. ​
• Verificați identitatea apelantului: Dacă apelantul pretinde că reprezintă o organizație cunoscută, verificați independent identitatea sa prin contactarea organizației direct, utilizând informații de contact oficiale. ​WIRED sugerează crearea unei parole secrete cu familia pentru a detecta atacurile de vishing care pretind a fi de la un membru al familiei.
• Limitați împărtășirea de informații: Evitați să divulgați informații personale sau financiare în timpul apelurilor nesolicitate. Fiți deosebit de atenți dacă apelantul creează o senzație de urgență sau amenință cu consecințe negative. ​
• Educați-vă și pe alții: Rămâneți informați despre tactici comune de vishing și împărtășiți această cunoaștere cu prietenii și familia. Conștientizarea este o apărare critică împotriva atacurilor de inginerie socială.​
• Raportați apelurile suspecte: Informați autoritățile relevante sau agențiile de protecție a consumatorilor despre încercările de vishing. Raportarea ajută la urmărirea și mitigarea activităților frauduloase.

Toate indiciile arată că vishing-ul cu IA este aici pentru a rămâne. De fapt, este probabil să continue să crească în volum și să se îmbunătățească în execuție. Având în vedere prevalența deep-fake-urilor și ușurința adoptării campaniilor cu modele de servicii, organizațiile ar trebui să se aștepte ca, la un moment dat, să fie vizate de un atac.

Educația angajaților și detectarea fraudei sunt cheia pregătirii și prevenirii atacurilor de vishing cu IA. Sofisticarea vishing-ului cu IA poate duce chiar și la faptul că profesioniștii de securitate bine antrenați să creadă în solicitări sau narative aparent autentice. Din cauza acestui fapt, o strategie de securitate cuprinzătoare și stratificată, care integrează măsuri de securitate tehnologică cu o forță de muncă informată și vigilentă, este esențială pentru mitigarea riscurilor generate de phishing-ul cu IA.