ผู้นำทางความคิด
การฉ้อโกงพิชชิงรุ่นใหม่: การเพิ่มขึ้นของการฉ้อโกง AI Vishing
ในด้านความมั่นคงทางไซเบอร์ การคุกคามทางออนไลน์ที่เกิดจาก AI สามารถมีผลกระทบต่อผู้คนและองค์กรทั่วโลกได้ การฉ้อโกงพิชชิงแบบดั้งเดิมได้พัฒนาไปสู่การละเมิดเครื่องมือ AI ทำให้เกิดการฉ้อโกงที่ซับซ้อนและยากต่อการตรวจจับมากขึ้น AI Vishing อาจเป็นเทคนิคที่น่ากังวลที่สุดในกลุ่มการฉ้อโกงที่กำลังพัฒนา
AI Vishing คืออะไร?
AI Vishing เป็นการพัฒนาของการฉ้อโกงทางโทรศัพท์ (Vishing) โดยที่ผู้โจมตีปลอมตัวเป็นบุคคลที่เชื่อถือได้ เช่น ตัวแทนธนาคารหรือทีมสนับสนุนเทคนิค เพื่อหลอกให้เหยื่อทำการดำเนินการ เช่น โอนเงินหรือมอบสิทธิ์เข้าถึงบัญชี
AI เพิ่มความสามารถให้กับการฉ้อโกง Vishing ด้วยเทคโนโลยี เช่น การปลอมเสียงและ Deepfakes ที่เลียนแบบเสียงของบุคคลที่เชื่อถือได้ ผู้โจมตีสามารถใช้ AI เพื่อทำการโทรศัพท์และสนทนาโดยอัตโนมัติ ทำให้สามารถโจมตีผู้คนจำนวนมากในเวลาที่ค่อนข้างสั้น
AI Vishing ในโลกแห่งความเป็นจริง
ผู้โจมตีใช้เทคนิค AI Vishing โดยไม่เลือกปฏิบัติ โดยโจมตีทั้งบุคคลที่อ่อนแอและธุรกิจ การโจมตีเหล่านี้ได้พิสูจน์แล้วว่ามีประสิทธิภาพ โดยจำนวนชาวอเมริกันที่สูญเสียเงินจากการฉ้อโกง Vishing เพิ่มขึ้น 23% จากปี 2023 ถึง 2024 เพื่อให้เข้าใจถึงความสำคัญของเรื่องนี้ เราจะสำรวจการโจมตี AI Vishing ที่มีชื่อเสียงที่สุดในช่วงไม่กี่ปีที่ผ่านมา
การฉ้อโกงธุรกิจอิตาลี
ในช่วงต้นปี 2025 ผู้ฉ้อโกงได้ใช้ AI เพื่อเลียนแบบเสียงของ Guido Crosetto รัฐมนตรีกระทรวงกลาโหมอิตาลี ในการพยายามฉ้อโกงผู้นำธุรกิจชั้นนำของอิตาลี รวมถึงนักออกแบบแฟชั่น Giorgio Armani และ Patrizio Bertelli ผู้ร่วมก่อตั้ง Prada
โดยปลอมตัวเป็น Crosetto ผู้โจมตีกล่าวว่าต้องการความช่วยเหลือทางการเงินอย่างเร่งด่วนสำหรับการปล่อยตัวนักข่าวอิตาลีที่ถูกจับกุมในตะวันออกกลาง มีเพียงผู้ถูกโจมตีเพียงคนเดียวที่หลงเชื่อการฉ้อโกงนี้ คือ Massimo Moratti อดีตเจ้าของสโมสรฟุตบอลอินเตอร์ มิลาน และตำรวจสามารถกู้คืนเงินที่ถูกขโมยได้
โรงแรมและบริษัทท่องเที่ยวตกอยู่ภายใต้การโจมตี
ตามรายงานของ Wall Street Journal ช่วงไตรมาสสุดท้ายของปี 2024 มีการเพิ่มขึ้นอย่างมีนัยสำคัญของการโจมตี AI Vishing ต่ออุตสาหกรรมโรงแรมและท่องเที่ยว ผู้โจมตีใช้ AI เพื่อปลอมตัวเป็นตัวแทนการท่องเที่ยวและผู้บริหารระดับสูงเพื่อหลอกให้พนักงานฝ่ายต้อนรับของโรงแรมเปิดเผยข้อมูลที่ละเอียดอ่อนหรือให้การเข้าถึงระบบโดยไม่ได้รับอนุญาต
พวกเขาทำเช่นนี้โดยสั่งให้พนักงานบริการลูกค้าที่ยุ่งในช่วงเวลาทำการเปิดอีเมลหรือเบราว์เซอร์ที่มีไฟล์แนบอันตราย เนื่องจากความสามารถที่น่าประทับใจในการเลียนแบบพันธมิตรที่ทำงานกับโรงแรมผ่านเครื่องมือ AI การฉ้อโกงทางโทรศัพท์จึงถือเป็น “ภัยคุกคามที่คงที่”
การฉ้อโกงทางรัก
ในปี 2023 ผู้โจมตีใช้ AI เพื่อเลียนแบบเสียงของสมาชิกในครอบครัวที่ตกอยู่ในความทุกข์ และฉ้อโกงผู้สูงอายุออกจากเงินประมาณ 200,000 ดอลลาร์ การโทรศัพท์ฉ้อโกงเป็นเรื่องที่ยากต่อการตรวจจับ โดยเฉพาะสำหรับผู้สูงอายุ แต่เมื่อเสียงที่ปลายสายโทรศัพท์เหมือนกับเสียงของสมาชิกในครอบครัว พวกเขาก็เกือบจะไม่สามารถตรวจจับได้
AI Vishing ในรูปแบบบริการ
AI Vishing ในรูปแบบบริการ (VaaS) เป็นปัจจัยสำคัญที่ทำให้ AI Vishing เพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา โมเดลการสมัครรับบริการเหล่านี้สามารถรวมถึงความสามารถในการปลอมแปลง การเรียกใช้แบบกำหนดเอง และตัวแทนผู้ใช้ที่ปรับเปลี่ยนได้ ทำให้ผู้กระทำความผิดสามารถเปิดตัวการโจมตี AI Vishing ในระดับใหญ่ได้
ที่ Fortra เราได้ติดตาม PlugValley ซึ่งเป็นหนึ่งในผู้เล่นหลักในตลาด AI Vishing ในรูปแบบบริการ ความพยายามเหล่านี้ทำให้เราเข้าใจถึงภัยคุกคามและความซับซ้อนของการโจมตี Vishing ที่เพิ่มขึ้น
PlugValley: AI VaaS ที่ถูกเปิดเผย
บอท Vishing ของ PlugValley ช่วยให้ผู้กระทำความผิดสามารถใช้เสียงที่เหมือนจริงและปรับเปลี่ยนได้เพื่อหลอกเหยื่อได้ บอทสามารถปรับเปลี่ยนในเวลาจริง เลียนแบบรูปแบบการพูดของมนุษย์ ปลอมแปลงหมายเลขโทรศัพท์ และแม้แต่เพิ่มเสียงพื้นหลังของศูนย์บริการลูกค้าเพื่อการโทรศัพท์ ทำให้การฉ้อโกง AI Vishing ดูเหมือนจริงที่สุด และช่วยให้ผู้กระทำความผิดสามารถขโมยข้อมูลธนาคารและรหัสผ่านหนึ่งครั้ง (OTPs) ได้
PlugValley ลดข้อจำกัดทางเทคนิคสำหรับผู้กระทำความผิดโดยเสนอบริการฉ้อโกงที่ปรับขนาดได้ในราคาสมาชิกภาพรายเดือนที่ค่อนข้างต่ำ
ผู้ให้บริการ AI VaaS เช่น PlugValley ไม่เพียงแต่ดำเนินการฉ้อโกงเท่านั้น แต่ยังทำให้การฉ้อโกงกลายเป็นอุตสาหกรรมด้วย พวกเขาตัวแทนถึงการปฏิวัติของการวิศวกรรมทางสังคม โดยทำให้ผู้กระทำความผิดสามารถใช้เครื่องมือการเรียนรู้ของเครื่อง (ML) และใช้ประโยชน์จากผู้คนในระดับใหญ่ได้
การป้องกันการโจมตี AI Vishing
เทคนิคการวิศวกรรมทางสังคมที่ขับเคลื่อนด้วย AI เช่น AI Vishing จะกลายเป็นเรื่องที่พบบ่อยมากขึ้น มีประสิทธิภาพ และซับซ้อนมากขึ้นในอนาคต ดังนั้นจึงเป็นเรื่องสำคัญสำหรับองค์กรที่จะต้องดำเนินกลยุทธ์ที่มีประสิทธิภาพ เช่น การฝึกอบรมพนักงาน การเพิ่มประสิทธิภาพการตรวจจับฉ้อโกง และการให้ข้อมูลภัยคุกคามในเวลาจริง
ในระดับบุคคล การให้คำแนะนำต่อไปนี้สามารถช่วยในการระบุและหลีกเลี่ยงการโจมตี AI Vishing:
- ต้องระมัดระวังในการรับโทรศัพท์ที่ไม่ได้ร้องขอ: ระมัดระวังในการรับโทรศัพท์ที่ไม่ได้ร้องขอ โดยเฉพาะอย่างยิ่งการโทรที่ขอข้อมูลส่วนบุคคลหรือทางการเงิน องค์กรที่ถูกต้องไม่ขอข้อมูลที่ละเอียดอ่อนทางโทรศัพท์
- ตรวจสอบตัวตนผู้โทร: หากผู้โทรอ้างว่าเป็นตัวแทนขององค์กรที่รู้จัก ให้ตรวจสอบตัวตนของพวกเขาโดยติดต่อองค์กรโดยตรงโดยใช้ข้อมูลติดต่ออย่างเป็นทางการ WIRED แนะนำให้สร้างรหัสผ่านลับกับครอบครัวเพื่อตรวจจับการโจมตี AI Vishing ที่อ้างว่าเป็นจากสมาชิกในครอบครัว
- จำกัดการแบ่งปันข้อมูล: หลีกเลี่ยงการเปิดเผยข้อมูลส่วนบุคคลหรือทางการเงินระหว่างการโทรที่ไม่ได้ร้องขอ ระมัดระวังเป็นพิเศษหากผู้โทรสร้างความเร่งด่วนหรือข่มขู่ผลลัพธ์ที่ไม่พึงประสงค์
- ให้ความรู้แก่ตัวเองและผู้อื่น: ติดตามข้อมูลเกี่ยวกับเทคนิคการโจมตี AI Vishing ที่พบบ่อย และแบ่งปันความรู้นี้กับเพื่อนและครอบครัว ความตระหนักเป็นกุญแจสำคัญในการป้องกันการโจมตีทางสังคม
- รายงานการโทรที่น่าสงสัย:แจ้งหน่วยงานที่เกี่ยวข้องหรือหน่วยงานคุ้มครองผู้บริโภคเกี่ยวกับการโจมตี AI Vishing การรายงานช่วยติดตามและบรรเทาผลกระทบจากกิจกรรมฉ้อโกง
การฉ้อโกง AI Vishing มีแนวโน้มที่จะยังคงเพิ่มขึ้นในปริมาณและความซับซ้อน ด้วยการแพร่กระจายของ Deepfakes และความง่ายในการใช้บริการ AI Vishing องค์กรควรเตรียมพร้อมที่จะถูกโจมตีในบางจุด
การให้ความรู้แก่พนักงานและการตรวจจับฉ้อโกงเป็นกุญแจสำคัญในการเตรียมพร้อมและป้องกันการโจมตี AI Vishing ความซับซ้อนของ AI Vishing สามารถทำให้แม้แต่ผู้เชี่ยวชาญด้านความมั่นคงที่ได้รับการฝึกอบรมมาอย่างดีเชื่อในคำขอหรือเรื่องราวที่ดูเหมือนจริง ดังนั้นกลยุทธ์ความมั่นคงที่ครอบคลุมและชั้นซึ่งรวมถึงการป้องกันทางเทคโนโลยีกับพนักงานที่ตระหนักและตื่นตัวอย่างต่อเนื่องจึงเป็นสิ่งจำเป็นในการบรรเทาผลกระทบจาก AI พิชชิง
