关注我们.

思想领袖

下一代网络钓鱼:人工智能网络钓鱼诈骗的兴起

mm
发布时间

在网络安全领域,人工智能带来的网络威胁可能对全球个人和组织造成极其重大的影响。传统的网络钓鱼诈骗通过滥用人工智能工具不断演变,其频率和复杂性逐年增加,也越来越难以察觉。在这些不断发展的技术中,人工智能语音钓鱼或许是最令人担忧的。

什么是人工智能网络钓鱼?

人工智能网络钓鱼是语音网络钓鱼(vishing)的一种演变,攻击者冒充受信任的个人,例如银行代表或技术支持团队,诱骗受害者执行转移资金或交出其账户访问权等操作。

人工智能利用语音克隆和深度伪造等技术,模仿受信任用户的声音,增强了语音钓鱼诈骗的攻击效果。攻击者可以利用人工智能自动进行电话和对话,从而能够在相对较短的时间内锁定大量目标人群。

现实世界中的人工智能网络钓鱼

攻击者不加区分地使用人工智能语音钓鱼技术,攻击目标涵盖从脆弱个人到企业的所有人。事实证明,这些攻击非常有效,因语音钓鱼而损失金钱的美国人数量正在不断增长。 23%从 2023 年到 2024 年。为了说明这一点,我们将探讨过去几年发生的一些最引人注目的人工智能网络钓鱼攻击。

意大利商业骗局

在2025早期, 骗子 利用人工智能模仿意大利国防部长吉多·克罗塞托的声音,试图欺骗意大利一些最著名的商界领袖,包括时装设计师乔治·阿玛尼和普拉达联合创始人帕特里齐奥·贝尔泰利。

袭击者冒充克罗塞托,声称需要紧急资金援助,以解救一名在中东被绑架的意大利记者。本案中,只有一名目标落入了骗局——国际米兰前老板马西莫·莫拉蒂——警方成功追回了被盗资金。

酒店和旅游公司陷入困境

“华尔街日报”2024年最后一个季度,针对酒店和旅游业的人工智能语音钓鱼攻击显著增加。攻击者利用人工智能冒充旅行社和公司高管,诱骗酒店前台工作人员泄露敏感信息或授予未经授权的系统访问权限。

他们通常会在高峰时段,指示繁忙的客服代表打开带有恶意附件的电子邮件或浏览器。由于电话诈骗能够通过人工智能工具模仿酒店合作伙伴,因此被视为“持续威胁”。

浪漫骗局

2023年, 攻击者 利用人工智能模仿陷入困境的家人的声音,骗取老年人约200,000万美元。诈骗电话很难察觉,尤其是对老年人而言,但当电话另一端的声音听起来与家人完全一样时,几乎无法察觉。值得注意的是,这起事件发生在两年前——从那时起,人工智能语音克隆技术变得更加复杂。

人工智能网络钓鱼即服务

过去几年,人工智能语音钓鱼即服务 (VaaS) 一直是人工智能语音钓鱼增长的主要推动力。这些订阅模式包含欺骗功能、自定义提示和自适应代理,使恶意攻击者能够大规模发起人工智能语音钓鱼攻击。

At 极限运动我们一直在追踪人工智能语音钓鱼即服务市场的主要参与者之一 PlugValley。这些努力使我们深入了解了该威胁组织,或许更重要的是,让我们清楚地认识到语音钓鱼攻击已经变得多么先进和复杂。

普拉格谷:揭秘 AI VaaS

PlugValley 的语音钓鱼机器人允许威胁行为者使用逼真、可定制的声音来操纵潜在受害者。该机器人可以实时适应,模仿人类的语音模式,伪造来电显示,甚至在语音通话中添加呼叫中心的背景噪音。它使人工智能语音钓鱼诈骗尽可能逼真,帮助网络犯罪分子窃取银行凭证和一次性密码 (OTP)。

PlugValley 为网络犯罪分子消除了技术障碍,只需点击按钮并支付象征性的月费即可提供可扩展的欺诈技术。

像 PlugValley 这样的 AI VaaS 提供商不仅在进行诈骗,还在将网络钓鱼工业化。它们代表了社会工程学的最新发展,使网络犯罪分子能够利用机器学习 (ML) 工具进行大规模攻击。

防范人工智能网络钓鱼

人工智能驱动的社会工程技术,例如人工智能语音钓鱼,在未来几年将变得更加普遍、有效和复杂。因此,对于组织而言,实施主动策略至关重要,例如员工意识培训、增强的欺诈检测系统和实时威胁情报。

在个人层面上,以下指导可以帮助识别和避免人工智能钓鱼企图:

  • 对未经请求的电话保持怀疑: 接到意外来电时务必谨慎,尤其是那些要求提供个人信息或财务信息的电话。合法机构通常不会在电话中询问敏感信息。
  • 验证呼叫者身份: 如果呼叫者声称代表某个知名组织,请使用官方联系信息直接联系该组织,以独立验证其身份。有线 建议与家人一起创建一个秘密密码,以检测声称来自家庭成员的钓鱼攻击。
  • 限制信息共享: 避免在接到未经请求的电话时透露个人信息或财务信息。如果来电者制造紧迫感或威胁要承担负面后果,请特别警惕。
  • 教育自己和他人: 了解常见的网络钓鱼攻击手段,并与亲朋好友分享。防范社会工程学攻击的关键在于提高警惕。
  • 报告可疑电话: 向相关部门或消费者保护机构举报网络钓鱼行为。举报有助于追踪和减少欺诈活动。

种种迹象表明,人工智能语音钓鱼已成定局。事实上,它的数量可能会持续增长,执行力也会不断提升。随着深度伪造技术的盛行以及“即服务”模式的推广,各组织机构应该预料到,自己终有一天会成为攻击的目标。

员工教育和欺诈检测是防范和预防人工智能网络钓鱼攻击的关键。人工智能网络钓鱼的复杂性甚至会让训练有素的安全专业人员轻信看似真实的请求或叙述。因此,制定全面、分层的安全策略,将技术保障措施与持续知情和保持警惕的员工队伍相结合,对于降低人工智能网络钓鱼带来的风险至关重要。

相关话题:
mm

Alexis Ober 是全球网络安全软件和服务提供商的威胁情报分析师 极限运动,在欺诈调查和研究分析方面拥有丰富的经验。她曾在政府和私营机构工作,在识别医疗保健领域的欺诈、浪费和滥用方面拥有丰富的经验。