Наступне покоління фішингу: зростання шахрайств з використанням AI Vishing

У кібербезпеці, онлайн-загрози, створені за допомогою AI, можуть мати дуже відчутний вплив на окремих осіб та організації по всьому світу. Традиційні фішинг-атаки еволюціонували через зловживання інструментами AI, стаючи все частішими, складнішими та важчими для виявлення з кожним роком. AI Vishing, можливо, є найбільш тривожним з цих еволюційних технік.

Що таке AI Vishing?

AI Vishing є еволюцією голосового фішингу (vishing), коли атакувальники видають себе за довірених осіб, таких як представники банків або технічної підтримки, щоб обманути жертв і змусити їх виконувати дії, такі як переказ коштів або надання доступу до своїх рахунків.

AI покращує фішинг-атаки за допомогою технологій, таких як клонування голосу і глибокі фейки, які імітують голоси довірених осіб. Атакувальники можуть використовувати AI для автоматизації телефонних дзвінків і розмов, що дозволяє їм націлюватися на велику кількість людей за відносно короткий час.

AI Vishing у реальному світі

Атакувальники використовують техніки AI Vishing без розбору, націлюючись на всіх, від уразливих осіб до бізнесу. Ці атаки виявилися надзвичайно ефективними, а кількість американців, які втратили гроші через фішинг, зросла на 23% з 2023 по 2024 рік. Щоб поставити це в контекст, ми розглянемо деякі з найбільш відомих атак AI Vishing, які відбулися за останні кілька років.

Італійський бізнес-шахрайство

На початку 2025 року шахраї використали AI, щоб імітувати голос італійського міністра оборони Гвідо Крозетто, у спробі обманути деяких з найбільш відомих італійських бізнес-лідерів, включаючи дизайнера Джорджо Армані та співзасновника Prada Патріціо Бертеллі.

Видаючи себе за Крозетто, атакувальники стверджували, що їм потрібна термінова фінансовая допомога для звільнення викраденого італійського журналіста на Близькому Сході. Лише одна з цільових осіб піддалася шахрайству в цьому випадку – Массімо Моратті, колишній власник Інтернаціонале – і поліція вдалася повернути вкрадені гроші.

Готелі та туристичні компанії під облогою

За даними Wall Street Journal, останній квартал 2024 року побачив значне збільшення атак AI Vishing на готельну та туристичну індустрію. Атакувальники використовували AI, щоб імітувати туристичних агентів і корпоративних виконавців, щоб обманути персонал готельного прийому та змусити їх розкрити конфіденційну інформацію або надати несанкціонований доступ до систем.

Вони робили це, спрямовуючи зайнятих представників служби клієнтів, часто під час пікових годин роботи, відкрити електронну пошту або браузер з шкідливим вмістом. Через видатну здатність імітувати партнерів, які працюють з готелем за допомогою інструментів AI, телефонні шахрайства вважалися “постійною загрозою”.

Шахрайства у сфері романтики

У 2023 році атакувальники використали AI, щоб імітувати голоси членів сім’ї в біді та обманути літніх осіб, викравши у них близько 200 000 доларів. Шахрайські дзвінки важко виявити, особливо для старших людей, але коли голос на іншому кінці телефону звучить точно як голос члена сім’ї, вони майже невидимі. Варто зазначити, що цей інцидент стався два роки тому – клонування голосу AI стало ще більш складним з тих пір.

AI Vishing як послуга

AI Vishing як послуга (VaaS) був одним з основних факторів зростання AI Vishing за останні кілька років. Ці моделі підписки можуть включати можливості спуфінгу, настраїваних промптів і адаптованих агентів, що дозволяє зловмисникам запускати атаки AI Vishing у великому масштабі.

У Fortra ми відстежували PlugValley, одного з ключових гравців на ринку AI Vishing як послуги. Ці зусилля дали нам уявлення про загрозну групу та, можливо, ще більш важливо, про те, наскільки складними та розвиненими стали атаки vishing.

PlugValley: AI VaaS розгорнута

Бот vishing PlugValley дозволяє загрозливим акторам розгортати життєві, настраївані голоси для маніпулювання потенційними жертвами. Бот може адаптуватися в реальному часі, імітуючи людські мовні закономірності, спуфінг ідентифікаторів дзвінків та навіть додавати фоновий шум виклику до голосових дзвінків. Це робить атаки AI Vishing такими переконливими, як тільки можливо, допомагаючи кіберзлочинцям викрадати банківські дані та одноразові паролі (OTPs).

PlugValley усуває технічні бар’єри для кіберзлочинців, пропонуючи масштабовану технологію шахрайства за кліком кнопки за номінальні щомісячні підписки.

Постачальники AI VaaS, такі як PlugValley, не тільки здійснюють шахрайства, а й індустріалізують фішинг. Вони представляють останню еволюцію соціальної інженерії, що дозволяє кіберзлочинцям озброювати інструменти машинного навчання (ML) та використовувати людей у великому масштабі.

Захист проти AI Vishing

Техніки соціальної інженерії, що використовують AI, такі як AI Vishing, будуть ставати все більш поширеними, ефективними та складними в найближчі роки. Відповідально, для організацій важливо реалізовувати проактивні стратегії, такі як навчання працівників, покращення систем виявлення шахрайства та оперативної загрозливої розвідки,

На індивідуальному рівні наступні рекомендації можуть допомогти в ідентифікації та уникненні спроб AI Vishing:

• Будьте скептичними щодо несподіваних дзвінків: Застерігайтеся несподіваних телефонних дзвінків, особливо тих, які запитують особисту або фінансову інформацію. Легітимні організації зазвичай не запитують конфіденційну інформацію по телефону. ​
• Перевірте ідентичність дзвінника: Якщо дзвінок стверджує, що представляє відому організацію, незалежно перевірте їхню ідентичність, контактуючи з організацією безпосередньо за допомогою офіційної контактної інформації. ​WIRED пропонує створити секретний пароль з вашою сім’єю для виявлення шахрайських атак, що видають себе за члена сім’ї.
• Обмежте обмін інформацією: Уникайте розголошення особистої або фінансової інформації під час несподіваних дзвінків. Будьте особливо обережні, якщо дзвінок створює відчуття терміновості або загрожує негативними наслідками. ​
• Навчіться та інформуйте інших: Залишайтеся в курсі загальних тактик vishing та ділитесь цією інформацією з друзями та сім’єю. Осведомленість є критичним захистом проти соціальної інженерії.​
• Повідомте про підозрілі дзвінки: Інформуйте відповідні органи або агентства з захисту споживачів про спроби vishing. Повідомлення допомагає відстежувати та мінімізувати шахрайську діяльність.

За всіма ознаками, AI Vishing залишається. Насправді, він, ймовірно, продовжить зростати за обсягом та покращуватися за виконанням. З поширенням глибоких фейків та легкістю прийняття кампаній з моделями “як послуга”, організації повинні очікувати, що вони колись стануть ціллю атаки.

Освітня робота працівників та виявлення шахрайства є ключем до підготовки та запобігання атакам AI Vishing. Складність AI Vishing може змусити навіть добре підготовлених фахівців з безпеки вірити у видимо автентичні запити або розповіді. Через це комплексна, шарова стратегія безпеки, що інтегрує технологічні засоби захисту з постійно інформованим та пильним персоналом, є важливою для мінімізації ризиків, пов’язаних з фішингом AI.