世界各地的企業及組織對網絡攻擊的危機意識日漸提高,目前約四成網絡用戶對「勒索病毒」等術語表示熟悉。但對於這些行業術語的理解不足以應對持續演變的威脅,例如騙徒更透過人工智能 (AI)將攻擊手法進化至「語音釣魚攻擊」(vishing,即「voice phishing」)等更高端、仿真的犯罪模式。香港網絡安全事故協調中心表示,2024上半年處理的網絡保安事故較去年下半年上升31%。騙徒手法層出不窮,公司及個人用戶必須主動識別、教育並保護自己免受新一代網絡攻擊的侵害,並善用 AI 反將一軍。
AI 制衡 AI:抵禦日益盛行的 AI 語音釣魚威脅
語音釣魚從傳統電子釣魚演化而成,透過偽造電話或語音信息誘騙用戶。與傳統釣魚一樣,騙徒的目標是欺騙個人泄露敏感信息、引導至惡意鏈接或轉移資金,被視為「社交工程」(social engineering)詐騙。
生成式 AI 和開源模型的興起,令文本生成、圖像創建和語音合成等工具唾手可得,騙徒透過這些工具佈局更具說服力和大規模的語音釣魚攻擊。 今年年初,騙徒利用 Deepfake 技術冒充一家跨國公司的首席財務官,成功以視訊電話會議誘騙該公司位於香港的財務人員轉帳高達2 億港元。
語音釣魚騙案中 不法分子主要透過兩種方法行騙 :
- 初步訪問:騙徒冒充受害者的企業高層、同事甚至 IT 支援人員,欺騙受害者披露機密信息、授予系統的遠程訪問權限或轉移資金。
- 橫向移動、提升權限:騙徒利用 AI 語音欺詐(AI voice spoofing)冒充管理員,在內網中跨越不同系統,層層突破以獲取更高的訪問權限,進而竊取敏感資料或價值資產。
企業時刻與網絡攻擊競賽,然而透過實戰測試自己的網絡防護能力風險過高,明顯非理想選擇。此時,模擬網絡攻擊能夠為企業提供安全同時有效的評估。
舉例來說,Google Mandiant Red Team 提供評估服務,複製現實網絡攻擊所見的戰術、技巧和程序(TTPs),以 AI 搭建模擬現實且持續的攻擊場景。此類評估一般包括:
- 真實攻擊場景:利用全球網絡攻擊事故中發現的TTPs模擬現實攻擊場景,識別漏洞。
- 風險分析:基於事實的風險分析,詳細說明每個漏洞在客戶環境中的相關性,以及驗證這些漏洞的相關技術。
- 量身定制目標:按企業需求定制騙案佈局,目標「竊取」企業指定的資產或信息(例如獲取支付卡行業資料數據、個人識別資訊、商業機密)。
- 行業顧問:為能源、醫療、製造和電信等關鍵基礎設施行業提供經驗分享。
該團隊曾於 2023 年底為客戶進行對照實驗,而預先制定的語音釣魚攻擊暢通無阻地直達客戶的工作站。是次模擬語音釣魚的成功「偷襲」,突顯大部份公司的網絡安全措施不足,加強 AI 騙案防範迫在眉睫。
未來,企業應考慮保護所有音頻資產,例如嵌入數字水印,以 AI 工具檢測及攔截音頻被不法之徒濫用。另外,我們預計更多企業會透過更新移動設備管理工具,幫助驗證來電者。在新技術研發期間,企業應考慮要求所有敏感對話在需要多重身份驗證的企業聊天渠道進行,減少身份被偽造或冒充的機會。大家亦可以多留意現時行業進行中的實時檢測研究,例如DF-Captcha等人機驗證機制應用程序。
科技對網絡攻擊和防禦雙方攻防提供強大的工具,但人為因素始終是各類騙案中的關鍵漏洞。接聽電話或收聽語意訊息時,我們應該保持合理懷疑,特別警愓來電者所說內容是否聽起來過於美好、來自不受信任的號碼/實體、試圖聲稱權威、或行為異常等情況,減低受騙機會。
(作者為 Google Cloud 北亞區董事總經理李孔源 Kathy Lee。題為編輯擬定。以上內容純屬作者個人意見,並不代表本網立場。)
Source:ezone.hk
【相關話題】