網路釣魚進化成 AI 語音釣魚,偽裝老闆聲音騙走 770 萬台幣!

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 是一種針對企業進行匯款支付詐騙的精密騙局,通常偽裝成公司內的高階經理或往來客戶的名義向公司員工寄出郵件,且網路犯罪者會事先準備好銀行帳號,再指示員工匯款。 北市某貿易公司業務經理的電郵帳號遭仿冒,宣稱上游供應商要求變更匯款帳戶,逕行匯款,損失折合台幣近百萬元。
不過令人更憂心的是,針對企業的網路釣魚( Phishing ) 匯款詐騙已經進化到語音釣魚( Vishing )了!

《華爾街日報》報導,新型的詐騙透過 AI 合成的語音,一家英國能源公司主管以為接到德國總公司執行長來電, 因為對方操著德國口音,語調也跟他熟悉的德國總公司 CEO 幾乎一樣,因此不疑有他,就把款項轉了過去, 被騙走了 22 萬歐元(近台幣 770 萬元) 。

「媽.我被打了,快送錢來」這個台灣人熟悉的詐騙模式,會不會將來也被 AI 機器人取代,用更逼真的對話、語調進行更高效率的詐騙?

調查報告指出,從 2013 年到 2017 年,語音詐騙增長了 350%,其中每 638 個詐騙電話中就有一個是機器合成的。

順道一提,之前史丹佛大學、普林斯頓等大學發表了一項研究,新技術已經發展到可以任意篡改編輯影片人物講話的嘴型和語音,甚至有 59.6% 的受試者看不出被修改過的影片。 聲音影像也可像文字一樣簡單的從中間修改,對一些影音工作者的確是個好消息 但如果遭不法份子利用,可能會這比語音釣魚( Vishing )更容易掉入陷阱 。

同場加映:認識語音釣魚( Vishing )

 身在今日網路連線 (及網路威脅) 全天候 7 天 24 小時不打烊的時代,很難不讓人想起過去用電話溝通的「舊時代」實在是安全多了。只可惜,現在連電話也不安全了。有越來越多的駭客都開始使用所謂的「語音釣魚」(vishing) 來攻擊使用者。事實上,作者本人就曾經遇到過語音釣魚:有一次我接到一通假銀行行員打來的電話,說我的帳號因為出現異常交易而即將遭到凍結,要我打某一個電話號碼。還好我沒有上當,但使用者如果不夠機警,就很可能會。

語音釣魚 Vishing 是什麼?如何預防?

 

什麼是語音釣魚 (Vishing)?

語音釣魚是網路釣魚(Phishing)的電話版,Vishing 這個詞是從 voice (語音) 加 phishing (網路釣魚) 這二個字組合而來。受害者可能直接接到歹徒的電話,或者可能收到一封邀請函 (透過電子郵件或語音郵件),請受害者打電話到假的客服中心來解決某個問題。一旦受害者撥打電話,自動語音系統就會請受害者在電話上輸入自己的帳號、PIN 碼或密碼,有時,歹徒也會假藉確認身分的理由向受害者詢問一些個人資料。

對歹徒來說,語音釣魚的流程共有三個步驟。第一步驟是「挑選」對象。歹徒會撰寫一些程式來自動撥號給許多人,就像許多大量散布的網路釣魚(Phishing)一樣布下天羅地網,期望能夠抓到幾個不夠警覺的銀行客戶。攻擊者可能下載一些軟體,讓他們在受害者的來電顯示某個號碼,這樣他們就能輕易假冒某銀行的來電。

第二步驟是從「被挑中」的受害者套出個人資料。歹徒會向受害者詢問信用卡卡號以及其他相關帳號資訊。最後一個步驟是想辦法利用被害者的資訊來竊取受害者的錢。

為何網路犯罪者要使用語音釣魚這種方法,而不使用更高科技的手法?

語音釣魚詐騙利用了整個安全防護當中最弱的一個環節,那就是:使用者。歹徒很輕易就能裝得既真實又具說服力,因此能取得使用者的信賴,讓他們親自奉上有價值的資訊。

而且,歹徒還有三項優勢。這些攻擊都是透過網路語音電話 (VoIP) 進行,因此很容易假造來電號碼或假冒自動語音系統,而且也容易隱藏身分。此外,執法單位也很難監聽或追蹤這些不法活動。

我上了語音釣魚的當。怎麼辦!

如果您上了語音釣魚的當,請記錄下事發的經過,以及您如何發覺自己被騙。保留一切您認為有助於調查的書面文件。接下來,按照下列步驟進行:

  • 向當地警方報案。
  • 通知您的銀行、信用卡公司、電話通訊業者等等,以及任何您懷疑可能遭歹徒竄改或開立的帳號。

在您執行上述步驟時,務必用書面方式記錄您所說及所聽到的內容,以免發生爭議。

要防止網路/語音釣魚,最重要的一點就是要記住:正當的企業「絕對不會」在電話當中或在線上要求您提供 PIN 碼或密碼。如果您接到這樣的電話,請立刻掛斷,並且通知銀行。

@原文來源:Vishing: What It Is, How You Can Protect Yourself 作者: David Fu 趨勢科技產品經理

《延伸閱讀》

假工程師的遠端解毒服務,用Event Viewer 唬人

《認識更多資安名詞》

什麼是 SPAM 垃圾郵件?肉罐頭?(同場加映:電子郵件演變史)

社交工程的運作原理~好奇心是最大的安全漏洞

認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」

Cybersquatting 域名搶註

什麼是特洛伊木馬病毒?何謂網頁掛馬?

什麼是間諜軟體 Spyware?

什麼是網路釣魚(Phishing)?

什麼是網路霸凌bully ?

什麼是「Botnet傀儡殭屍網路」?

什麼是社交工程(social engineering )?

什麼是雲端運算?雲端運算定義

什麼是 Black SEO?

什麼是假防毒軟體 Fake AV

….看更多資安名詞