网络钓鱼或“语音网络钓鱼”是一种"社会工程攻击"形式，骗子利用电话欺骗受害者透露敏感信息或进行欺诈性付款。

虽然传统的钓鱼依赖于人类的模仿，但人工智能的发展使攻击者能够生成令人高度信服的合成声音，甚至克隆真实个体的声音以达到以假乱真的效果。

你的声音怎么能被克隆？

人工智能可以通过文本到语音（TTS）合成和深度学习技术创造逼真的人声。例如谷歌DeepMind的WaveNet和人工智能语音编码器等先进模型能够以惊人的精度复制人类语音模式。

微软声称，语音可以在三秒钟内克隆出来，这意味着骗子可以给某人打一个非常简短的电话，然后只用那段录音就能创造出逼真的人工智能语音。

他们通常会冒充银行、政府机构或企业高管，利用受害者的信任使用带有紧迫性、权威性的方式以及情感操纵来迫使目标尽快服从。

人工智能增强的欺骗更可信，也更难被发现，因为克隆的声音听起来非常逼真。

当与网络钓鱼（电子邮件）和短信诈骗（SMS）等其他社会工程技术结合使用时，即使是精通网络的专业人士也很难发现这些攻击。

关于人工智能钓鱼攻击的分析

典型的AI钓鱼攻击倾向于遵循以下过程：

1.侦察：攻击者收集目标的个人信息。

2.欺骗呼叫：攻击者冒充受信任的实体，

3.紧迫性和操纵性：骗子制造一种紧急感，声称安全漏洞，逾期付款或其他危机。

4.信息提取：受害者被迫透露凭据、转账或安装恶意软件。

5.后续攻击：攻击者可能会通过网络钓鱼邮件或短信来加强他们的欺骗手段。

一些网络犯罪分子还提供“钓鱼即服务”（VaaS），他们将自己的技能出售给技能较差的诈骗者。这些服务包括人工智能语音克隆和自动电话，使更大范围的攻击者可以使用复杂的骗局。

随着进入门槛的降低，我们很可能会在未来几年看到越来越多的钓鱼攻击事件。

人工智能钓鱼是一种严重的、不断发展的网络威胁。随着人工智能使模仿可信声音变得更容易，企业和个人需要保持警惕。

通过实现身份验证措施、培训员工意识和采用安全最佳实践，企业可以减少遭受钓鱼攻击的风险。

防御的关键是要意识到——不要相信一个声音的表面价值，尤其是在涉及金钱或敏感信息的时候。

钓鱼攻击的迹象

·可疑的电话号码。

·紧急要求付款或敏感数据。

·音质差或声音模式不自然。

·不熟悉的电话号码或在奇怪的时间打来的电话。

·绕过标准安全程序的请求。

个人防范措施

·永远不要在电话里分享敏感信息，除非你能核实打电话的人。

·把未知号码转到语音信箱，在回复之前先查看一下。

·使用辅助通信通道验证异常请求，或使用多因素身份验证（MFA）验证发出敏感请求的调用者。

·注册电话号码与“不要打电话”注册和启用呼叫过滤功能。

企业安全措施

·在服务台实现强身份验证协议以验证呼叫者。

·要求对敏感事务进行多步骤验证。

·培训员工识别钓鱼危险信号。

·使用基于人工智能的呼叫监控来检测欺诈活动。

·限制公开可用的员工信息，以减少目标风险。

保护服务台不被钓鱼

服务台代理是钓鱼攻击的主要目标，因为它们经常处理敏感信息和用户身份验证请求。如果没有适当的验证协议，攻击者可以冒充员工、管理人员或供应商，以获得对系统和数据的未经授权的访问。

为了防御钓鱼威胁，企业可以在服务台实现强大的身份验证过程。多因素身份验证（MFA）和调用者验证技术可以帮助防止未经授权的访问并降低社会工程攻击的风险。

面对人工智能驱动的钓鱼威胁，企业应有相应应对方案，能够在处理此类事件发生之前识别钓鱼企图并验证呼叫者身份，这一点至关重要。

典型案例-米高梅度假村黑客攻击事件

米高梅酒店（MGM Resorts）的黑客攻击就是一个典型的例子，钓鱼可以用来绕过安全措施，获得对关键系统的未经授权的访问。

据悉，攻击者是ALPHV/黑猫勒索软件组织的一部分。他们冒充一名员工，打电话给米高梅服务台，要求访问其账户。

由于攻击者令人信服并利用了米高梅身份验证过程中的漏洞，使他们能够绕过安全检查并进入系统。

这种最初的访问导致了大规模的数据泄露，使米高梅度假村损失了数百万美元的收入，并造成了广泛的系统中断，包括预订、电子支付等问题。

参考及来源：https://www.bleepingcomputer.com/news/security/whos-calling-the-threat-of-ai-powered-vishing-attacks/