目前電子郵件網(wǎng)絡(luò)釣魚攻擊激增35%，但網(wǎng)絡(luò)犯罪分子已經(jīng)開始另謀出路，轉(zhuǎn)向更復(fù)雜的語音技術(shù)，使用先進的Deepfake和語音模擬技術(shù)繞過語音授權(quán)機制，對用戶發(fā)起語音釣魚攻擊。

數(shù)字風(fēng)險保護公司Digital Shadows的研究部門Photon Research Team告訴信息安全媒體集團，網(wǎng)絡(luò)犯罪分子正在將語音釣魚提升到一個新的水平，使用Deepfake音頻或視頻技術(shù)，使冒充看起來盡可能可信。

網(wǎng)絡(luò)犯罪分子將商用Deepfake和語音模擬工具結(jié)合

研究人員表示，在?Deepfake?音頻技術(shù)的幫助下，威脅行為者現(xiàn)在可以冒充目標(biāo)并繞過語音身份驗證機制等安全措施來授權(quán)欺詐或欺騙受害者的聯(lián)系人以收集有價值的情報。

越來越多的銀行正在使用語音授權(quán)來驗證客戶身份。根據(jù)生物識別研究機構(gòu)更新的一份報告，語音生物識別市場正以22.8%的復(fù)合年增長率增長，到2026年將達到39億美元。

Photon研究人員觀察到，攻擊者經(jīng)常以銀行賬戶持有人為目標(biāo)，預(yù)先錄制聲稱來自他們的銀行的消息，敦促他們通過電話提供賬戶憑據(jù)。

雖然語音釣魚并不新鮮，但Photon研究人員指出，Deepfake技術(shù)的進步使語音釣魚嘗試看起來比以往任何時候都更加可信。

研究人員告訴ISMG，深度學(xué)習(xí)AI技術(shù)可以創(chuàng)建非常逼真的深度造假，但補充說，模仿的成本與其可信度一致。

成本障礙能否阻止較小的網(wǎng)絡(luò)犯罪集團采取行動？

研究人員說，"如果攻擊者在攻擊的偵察階段獲得正確的樣本，他們可能不需要語音模擬工具，這對于許多網(wǎng)絡(luò)犯罪分子來說過于昂貴和復(fù)雜。相反，攻擊者可以編輯他們的樣本以產(chǎn)生他們正在尋找的任何聲音。

安全措施可能要求身份驗證者說出他們的姓名，出生日期或預(yù)定短語。在這種情況下，攻擊者需要做的就是播放預(yù)先錄制的短語。

研究人員發(fā)現(xiàn)了一個威脅行為者，宣傳一種語音釣魚服務(wù)，該服務(wù)可以創(chuàng)建，克隆和托管定制的語音機器人，包括"復(fù)雜的電話交互式響應(yīng)系統(tǒng)"。與釣魚相關(guān)的服務(wù)的基本價格為1000美元。額外的定制需要額外的成本。

網(wǎng)絡(luò)犯罪分子如何使用語音釣魚

"Deepfake技術(shù)可以實時改變或克隆聲音，從而對一個人的聲音進行人工模擬，"Photon研究人員說。

研究人員表示，為了選擇目標(biāo)，網(wǎng)絡(luò)犯罪分子使用開源情報技術(shù)，對開放端口和易受攻擊的設(shè)備進行主動和被動掃描，或者篩選包含受損憑據(jù)的泄漏的數(shù)據(jù)庫。

研究人員表示，在瞄準(zhǔn)目標(biāo)后，攻擊者可能會冒充買家與目標(biāo)組織中的權(quán)威人士交談，并提出的問題以引發(fā)語音樣本。他們可能會記錄對話，并將樣本用作參考，以便以后模仿或拼接。

有時，簡單的語音冒充被證明是不夠的，Photon Research團隊引用了一個實例，其中當(dāng)目標(biāo)公司指示攻擊者將文檔發(fā)送到公司電子郵件ID時，嘗試的語音釣魚攻擊遇到了障礙。

面對意想不到的障礙，攻擊者提出向犯罪論壇上的社會工程師支付1，000盧布，?大約13.5美元?，他們可以欺騙受害者點擊他或她將在電話上收到的鏈接。當(dāng)語音釣魚攻擊與常規(guī)網(wǎng)絡(luò)釣魚攻擊結(jié)合使用時，研究人員稱之為"混合策略" 。

研究人員強調(diào)了2020年的大規(guī)?；旌闲袆樱渲泄粽咄ㄟ^聲稱自己是IT支持來瞄準(zhǔn)公司的新員工，并提供解決VPN訪問問題。攻擊者通過"故障排除"電話或讓他們在欺騙性的VPN訪問門戶上輸入憑據(jù)，成功地獲得了毫無戒心的新員工的VPN憑據(jù)。

商用化語音模擬工具

Photon Research團隊表示，他們遇到了網(wǎng)絡(luò)犯罪分子，他們正在討論一種商用軟件，該軟件用于改變聲音，以改善角色扮演游戲或RPG中的人機交互。

高級軟件，如AV語音轉(zhuǎn)換器軟件，可以以$ 99.95的價格購買，而其他軟件如Voicemod則免費提供。

Photon Research團隊表示，Deepfake技術(shù)和語音模擬工具不僅用于傳播網(wǎng)絡(luò)攻擊，還用于傳播虛假信息。當(dāng)局并沒有忽視這一點。

據(jù)CNN Business報道，五角大樓通過國防高級研究計劃局（DARPA）正在與主要研究機構(gòu)合作開發(fā)檢測Deepfake的技術(shù)。

原文轉(zhuǎn)自inforisktoday，作者蘇米克·戈什，超級科技譯，合作站點轉(zhuǎn)載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！