網絡釣魚或“語音網絡釣魚”是一種"社會工程攻擊"形式，騙子利用電話欺騙受害者透露敏感信息或進行欺詐性付款。

雖然傳統的釣魚依賴于人類的模仿，但人工智能的發展使攻擊者能夠生成令人高度信服的合成聲音，甚至克隆真實個體的聲音以達到以假亂真的效果。

你的聲音怎么能被克?。?br/>

人工智能可以通過文本到語音（TTS）合成和深度學習技術創造逼真的人聲。例如谷歌DeepMind的WaveNet和人工智能語音編碼器等先進模型能夠以驚人的精度復制人類語音模式。

微軟聲稱，語音可以在三秒鐘內克隆出來，這意味著騙子可以給某人打一個非常簡短的電話，然后只用那段錄音就能創造出逼真的人工智能語音。

他們通常會冒充銀行、政府機構或企業高管，利用受害者的信任使用帶有緊迫性、權威性的方式以及情感操縱來迫使目標盡快服從。

人工智能增強的欺騙更可信，也更難被發現，因為克隆的聲音聽起來非常逼真。

當與網絡釣魚（電子郵件）和短信詐騙（SMS）等其他社會工程技術結合使用時，即使是精通網絡的專業人士也很難發現這些攻擊。

關于人工智能釣魚攻擊的分析

典型的AI釣魚攻擊傾向于遵循以下過程：

1.偵察：攻擊者收集目標的個人信息。

2.欺騙呼叫：攻擊者冒充受信任的實體，

3.緊迫性和操縱性：騙子制造一種緊急感，聲稱安全漏洞，逾期付款或其他危機。

4.信息提?。菏芎φ弑黄韧嘎稇{據、轉賬或安裝惡意軟件。

5.后續攻擊：攻擊者可能會通過網絡釣魚郵件或短信來加強他們的欺騙手段。

一些網絡犯罪分子還提供“釣魚即服務”（VaaS），他們將自己的技能出售給技能較差的詐騙者。這些服務包括人工智能語音克隆和自動電話，使更大范圍的攻擊者可以使用復雜的騙局。

隨著進入門檻的降低，我們很可能會在未來幾年看到越來越多的釣魚攻擊事件。

人工智能釣魚是一種嚴重的、不斷發展的網絡威脅。隨著人工智能使模仿可信聲音變得更容易，企業和個人需要保持警惕。

通過實現身份驗證措施、培訓員工意識和采用安全最佳實踐，企業可以減少遭受釣魚攻擊的風險。

防御的關鍵是要意識到——不要相信一個聲音的表面價值，尤其是在涉及金錢或敏感信息的時候。

釣魚攻擊的跡象

·可疑的電話號碼。

·緊急要求付款或敏感數據。

·音質差或聲音模式不自然。

·不熟悉的電話號碼或在奇怪的時間打來的電話。

·繞過標準安全程序的請求。

個人防范措施

·永遠不要在電話里分享敏感信息，除非你能核實打電話的人。

·使用輔助通信通道驗證異常請求，或使用多因素身份驗證（MFA）驗證發出敏感請求的調用者。

·注冊電話號碼與“不要打電話”注冊和啟用呼叫過濾功能。

企業安全措施

·在服務臺實現強身份驗證協議以驗證呼叫者。

·要求對敏感事務進行多步驟驗證。

·培訓員工識別釣魚危險信號。

·使用基于人工智能的呼叫監控來檢測欺詐活動。

·限制公開可用的員工信息，以減少目標風險。

保護服務臺不被釣魚

服務臺代理是釣魚攻擊的主要目標，因為它們經常處理敏感信息和用戶身份驗證請求。如果沒有適當的驗證協議，攻擊者可以冒充員工、管理人員或供應商，以獲得對系統和數據的未經授權的訪問。

為了防御釣魚威脅，企業可以在服務臺實現強大的身份驗證過程。多因素身份驗證（MFA）和調用者驗證技術可以幫助防止未經授權的訪問并降低社會工程攻擊的風險。

面對人工智能驅動的釣魚威脅，企業應有相應應對方案，能夠在處理此類事件發生之前識別釣魚企圖并驗證呼叫者身份，這一點至關重要。

典型案例-米高梅度假村黑客攻擊事件

米高梅酒店（MGM Resorts）的黑客攻擊就是一個典型的例子，釣魚可以用來繞過安全措施，獲得對關鍵系統的未經授權的訪問。

據悉，攻擊者是ALPHV/黑貓勒索軟件組織的一部分。他們冒充一名員工，打電話給米高梅服務臺，要求訪問其賬戶。

由于攻擊者令人信服并利用了米高梅身份驗證過程中的漏洞，使他們能夠繞過安全檢查并進入系統。

這種最初的訪問導致了大規模的數據泄露，使米高梅度假村損失了數百萬美元的收入，并造成了廣泛的系統中斷，包括預訂、電子支付等問題。

參考及來源：https://www.bleepingcomputer.com/news/security/whos-calling-the-threat-of-ai-powered-vishing-attacks/