新出现的智能攻击技巧：语音钓鱼攻击是如何发起攻击的？

随着AI的普及，语音钓鱼的频率也会越来越多。2019年，一家英国能源公司就遭遇了新型诈骗——AI合成的“语音钓鱼”。该能源公司主管以为接到德国总公司CEO来电，因为对方操着一口地道的德国口音，语调也跟他熟悉的德国总公司CEO几乎一模一样，于是就把款项转了过去，被诈骗了22万欧元。

无论使用哪种攻击技术，攻击的过程都是按着以下步骤进行的：攻击者首先会创建了一个诈骗场景来实施诈骗，然后利用人类的贪婪或恐惧等情绪，诱使受害者泄漏敏感信息，例如银行卡号或密码。

据统计，75%的诈骗受害者报告说，攻击者在诈骗开始前就已经掌握了一些有关他们的个人信息。

语音钓鱼最初是通过IP语音(VoIP)服务发出的，这使垃圾邮件处理者更容易实现某些或所有过程的自动化，而受害者或执法人员更难追踪。攻击者的最终目标是通过某种方式从受害者那里获利，比如通过收集银行帐户信息或其他人可以用来访问的银行帐户的个人详细信息，或者通过诱使受害者直接付款来获取利益。通过网络语音电话 (VoIP) 很容易伪造来电号码或假冒自动语音系统，而且也容易隐藏身份。虽然欺诈的模式是一样的，但却存在各种各样的欺诈技术和策略。语音钓鱼诈骗可以避开所有的安全防护手段，因为该攻击直接利用了受害者的防骗意识。语音钓鱼很轻易就能装得既真实又具说服力，因此能骗得用户的信赖，让他们上当。而最近出现的新型语音钓鱼更是融合了AI技术，让接听者误以为打电话的是熟人或者是上司本人，因此会大大降低用户的防骗意识。

语音钓鱼的攻击者会经常生成他们来自某个机构，比如政府机构，或者银行或客服中心机构，然后利用拨号软件给许多人自动拨号，这就像网络钓鱼攻击会同时发送很多垃圾邮件一样。在这些拨出去的号码中，总能有几个上当的用户。然后攻击者就通过吓唬或者诱骗或者假装提供帮助，来套出个人资料。比如，受害者会要求受害者在客服电话中输入自己的帐号、PIN 码或密码，有时，攻击者也会假借确认身份的理由向受害者询问一些个人资料。

那关键问题来了，语音钓鱼的前提就是要对攻击者的基本信息有所了解，比如攻击目标的家庭住址、银行卡开户行等。那这些数据都是哪里来的呢? Generali Global Assistance(GGA)全球身份和网络保护服务首席执行官Paige Schaffer说：“大部分数据来自暗网。”

从理论上讲，攻击者拥有的信息越多，他们造成的损失就越大。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!