科学研究表明,电子邮箱网络钓鱼攻击已激增35%。尽管企业的管理已经勤奋处理这一棘手问题,但网络犯罪分子却已增加筹码转为一种更加错综复杂的技术性——应用专业的Deepfake和视频语音仿真模拟技术性绕开视频语音受权体制,执行视频语音网络垂钓(或vishing)进攻。
数据风险性维护企业Digital Shadows的科学研究单位Photon Research Team警示称,网络犯罪分子已经将网络违法犯罪提高到一个新的水准,应用深层仿冒的声频或视频产品使蒙骗个人行为看上去尽量可靠。甚至有,网络犯罪分子仍在将商业深层仿冒和视频语音仿真模拟专用工具武器化。
科学研究工作员表明,在Deepfake声频技术性的幫助下,危害个人行为者可以假冒其总体目标并绕开视频语音身份认证体制等安全防范措施,来受权诈骗买卖或蒙骗受害人的手机联系人以搜集有價值的情报信息。
现如今,愈来愈多的金融机构已经应用视频语音受权来认证顾客的真实身份。依据生物识别技术科学研究组织 Biometric Update的一份结果报告显示,视频语音生物识别技术销售市场正以22.8%的复合型增长率提高,到2026年将做到39亿美金。
与此同时,Photon科学研究工作人员也观查到,网络攻击常常应用宣称来源于金融机构的预先录制信息来进攻银行帐户持有者,督促她们利用手机给予帐户凭证。
尽管视频语音垂钓(vishing)并不是什么新鲜事儿,但Photon 科学研究工作人员强调,Deepfake技术性的发展使视频语音垂钓试着看上去比之前什么时候都更为可靠。Photon Research团队表明,“尽管人工智能技术发展史比较有限,但现如今公开市场业务上可以用的视频语音仿真模拟专用工具可以说比较复杂。深度神经网络AI技术性可以建立十分细腻的deepfake。自然,仿真模拟的费用可会伴随着真实度的提高而提升。”
那麼,这类成本费堡垒能不能阻拦较小的网络犯罪团伙参加在其中?
回答可能是否认的。依据科学研究工作人员所言,假如网络攻击在进攻的侦查环节得到了恰当的样版,她们很有可能不用视频语音仿真模拟专用工具,由于这对很多网络犯罪分子而言过度价格昂贵和繁杂。反过来地,网络攻击可以编写她们的样品以转化成需要的一切响声。
安全防范措施很有可能会规定认证者讲出她们的名字、出生年月或预先确定的语句。在这样的情况下,网络攻击所必须做的便是播放视频预先录制的聊天语音。
过去的进攻实例
Photon科学研究精英团队强调,与传统式网络钓鱼攻击中的“放长线钓大鱼”(spray and pray)方式不一样,大部分取得成功的视频语音钓鱼攻击涉及到本人而不是企业。网络犯罪分子通常将注意力集中在一个特殊的人或一群高意义的本人,亦或是有着关键访问限制的人的身上。
2015年6月,《以色列时报》报导称,一名沙特网络犯罪分子假冒BBC阿拉伯新闻记者,要求访谈非洲专家教授Thamar Eilam Gindin,結果Gindin被哄骗共享资源她的电子邮箱凭证以浏览Google Drive文本文档。随后网络攻击应用她的凭证浏览她的社交媒体账号,并向她的手机联系人推送了恶意程序。
2019年7月,《华尔街日报》报导了网络犯罪分子应用视频语音复制专用工具假冒一家法国能源集团的CEO,結果取得成功获得了243,000元的非法行为汇钱。
2020年,《安全周刊》报导称,APT-C-23机构应用变声软件转化成站得住脚的女士响声声频信息内容,在社交媒体上运用虚报的非洲女性角色哄骗以色列士兵下载一个挪动应用软件,该应用程序会在许多人的设施上安裝恶意程序,以协助网络攻击得到机器设备的彻底决策权。
【在俄国网络违法犯罪社区论坛上展现的视频语音垂钓广告宣传】
视频语音垂钓即服务项目(Vishing-as-a-Service)
Photon科学研究工作员表明,她们在一个讲德语的网络违法犯罪社区论坛上察觉了视频语音垂钓即服务项目(Vishing-as-a-Service)。一个危害个人行为者已经宣传策划一种建立、复制和代管订制语音机器人的音频服务项目,主要包括一个“繁杂的电話互动回应系统软件”。
而依据科学研究员工的观查,找寻视频语音垂钓营运商的顾客不在少数。有一些乃至有早已明确的特殊总体目标,例如,一位顾客要想在多环节(multistage)社会工程进攻中对于数字货币权威专家。
据了解,视频语音垂钓相关服务的主要价钱为1,000美金,附加的订制还要附加的成本费。
视频语音垂钓完成方法
Photon科学研究工作员表明,“Deepfake技术性可以即时更改或复制响声,进而对一个人的响声开展环境模拟。”
为了更好地挑选总体目标,网络犯罪分子会应用开源系统情报信息技术性,积极和处于被动扫描仪开放端口及其易受攻击的机器设备,或是挑选包括损伤凭证的泄漏数据库查询。
在瞄准后,网络攻击很有可能会假冒消费者与总体目标结构中的权威人士沟通交流,并明确提出一些无关痛痒的问题以获得视频语音样版。她们很可能会纪录会话并应用样版做为参照,便于以后的效仿或拼凑实际操作。
有时,简易的视频语音仿真模拟被证实是远远不够的;Photon Research团队举了一个事例,当总体目标企业标示网络攻击将文本文档发送至企业电子邮箱ID时,一次视频语音钓鱼攻击试着碰到了阻碍。
应对这类出现意外的阻碍,网络攻击一般会向违法犯罪社区论坛上的社会发展技术工程师寻求帮助(市场价1,000美元,约13.5美金),她们可以引诱受害人点一下其会在手机中得到的连接。科学研究工作人员将这类方法称之为“混合策略”——将视频语音钓鱼攻击与基本网络钓鱼攻击融合应用。
2020年就曾出现过这类规模性混和实际操作,在案例中,网络攻击装扮成IT适用工作人员来对于总体目标公司的新员工,给予对VPN浏览问题的问题清除。网络攻击根据“常见故障清除”电話或让它们在欺诈性的VPN浏览门户网上键入凭证,取得成功地得到了没什么疑心的新员工的VPN凭证。
武器化的视频语音仿真模拟专用工具
Photon科学研究精英团队还留意到,网络犯罪分子已经探讨一种用以更改响声的商业手机软件,以改进动作类游戏或RPG中的人机交互技术。
高級手机软件,例如AV Voice Changer Software Diamond,可以以99.95 美金的价钱选购到,而第三方软件,例如Voicemod,则是免費的。
Photon科学研究精英团队表明,deepfake技术性和视频语音仿真模拟专用工具不但被用于散播网络进攻,还被用于散播虚假信息。幸运的是,这一切早已引发了政府的高度重视。
现阶段,五角大楼已经根据国防安全高級探讨计划局(DARPA)与关键科学研究组织联合开发检验deepfake的技术性。
文中翻譯自:https://www.bankinfosecurity.com/deepfakes-voice-impersonators-used-in-vishing-as-a-service-a-18050倘若转截,请标明全文详细地址。