語(yǔ)音釣魚(yú)是網(wǎng)絡(luò)釣魚(yú)的電話版，試圖通過(guò)語(yǔ)音誘騙的手段，獲取受害者的個(gè)人信息。雖然這聽(tīng)起來(lái)像是一種老掉牙的騙局套路，但其中卻加入了高科技元素：例如，它們涉及自動(dòng)語(yǔ)音模擬技術(shù)，或者詐騙者可能會(huì)使用從較早的網(wǎng)絡(luò)攻擊中獲得的有關(guān)受害者的個(gè)人信息。

 

　　隨著AI的普及，語(yǔ)音釣魚(yú)的頻率也會(huì)越來(lái)越多。2019年，一家英國(guó)能源公司就遭遇了新型詐騙——AI合成的“語(yǔ)音釣魚(yú)”。該能源公司主管以為接到德國(guó)總公司CEO來(lái)電，因?yàn)閷?duì)方操著一口地道的德國(guó)口音，語(yǔ)調(diào)也跟他熟悉的德國(guó)總公司CEO幾乎一模一樣，于是就把款項(xiàng)轉(zhuǎn)了過(guò)去，被詐騙了22萬(wàn)歐元。

 

　　無(wú)論使用哪種攻擊技術(shù)，攻擊的過(guò)程都是按著以下步驟進(jìn)行的：攻擊者首先會(huì)創(chuàng)建了一個(gè)詐騙場(chǎng)景來(lái)實(shí)施詐騙，然后利用人類的貪婪或恐懼等情緒，誘使受害者泄漏敏感信息，例如銀行卡號(hào)或密碼。

 

　　據(jù)統(tǒng)計(jì)，75%的詐騙受害者報(bào)告說(shuō)，攻擊者在詐騙開(kāi)始前就已經(jīng)掌握了一些有關(guān)他們的個(gè)人信息。

 

　　語(yǔ)音釣魚(yú)最初是通過(guò)IP語(yǔ)音(VoIP)服務(wù)發(fā)出的，這使垃圾郵件處理者更容易實(shí)現(xiàn)某些或所有過(guò)程的自動(dòng)化，而受害者或執(zhí)法人員更難追蹤。攻擊者的最終目標(biāo)是通過(guò)某種方式從受害者那里獲利，比如通過(guò)收集銀行帳戶信息或其他人可以用來(lái)訪問(wèn)的銀行帳戶的個(gè)人詳細(xì)信息，或者通過(guò)誘使受害者直接付款來(lái)獲取利益。通過(guò)網(wǎng)絡(luò)語(yǔ)音電話(VoIP)很容易偽造來(lái)電號(hào)碼或假冒自動(dòng)語(yǔ)音系統(tǒng)，而且也容易隱藏身份。雖然欺詐的模式是一樣的，但卻存在各種各樣的欺詐技術(shù)和策略。語(yǔ)音釣魚(yú)詐騙可以避開(kāi)所有的安全防護(hù)手段，因?yàn)樵摴糁苯永昧耸芎φ叩姆莉_意識(shí)。語(yǔ)音釣魚(yú)很輕易就能裝得既真實(shí)又具說(shuō)服力，因此能騙得用戶的信賴，讓他們上當(dāng)。而最近出現(xiàn)的新型語(yǔ)音釣魚(yú)更是融合了AI技術(shù)，讓接聽(tīng)者誤以為打電話的是熟人或者是上司本人，因此會(huì)大大降低用戶的防騙意識(shí)。

 

　　語(yǔ)音釣魚(yú)的攻擊者會(huì)經(jīng)常生成他們來(lái)自某個(gè)機(jī)構(gòu)，比如政府機(jī)構(gòu)，或者銀行或客服中心機(jī)構(gòu)，然后利用撥號(hào)軟件給許多人自動(dòng)撥號(hào)，這就像網(wǎng)絡(luò)釣魚(yú)攻擊會(huì)同時(shí)發(fā)送很多垃圾郵件一樣。在這些撥出去的號(hào)碼中，總能有幾個(gè)上當(dāng)?shù)挠脩簟Ｈ缓蠊粽呔屯ㄟ^(guò)嚇?；蛘哒T騙或者假裝提供幫助，來(lái)套出個(gè)人資料。比如，受害者會(huì)要求受害者在客服電話中輸入自己的帳號(hào)、PIN碼或密碼，有時(shí)，攻擊者也會(huì)假借確認(rèn)身份的理由向受害者詢問(wèn)一些個(gè)人資料。

 

　　那關(guān)鍵問(wèn)題來(lái)了，語(yǔ)音釣魚(yú)的前提就是要對(duì)攻擊者的基本信息有所了解，比如攻擊目標(biāo)的家庭住址、銀行卡開(kāi)戶行等。那這些數(shù)據(jù)都是哪里來(lái)的呢?GeneraliGlobalAssistance(GGA)全球身份和網(wǎng)絡(luò)保護(hù)服務(wù)首席執(zhí)行官PaigeSchaffer說(shuō)：“大部分?jǐn)?shù)據(jù)來(lái)自暗網(wǎng)。”

 

　　從理論上講，攻擊者擁有的信息越多，他們?cè)斐傻膿p失就越大。

 

　　目前的語(yǔ)音釣魚(yú)的目標(biāo)主要集中在那些高價(jià)值的目標(biāo)人群，因?yàn)檫@些目標(biāo)的獲利更多，值得攻擊者花時(shí)間來(lái)發(fā)起攻擊。比如，攻擊者可能會(huì)會(huì)耐心的通過(guò)釣魚(yú)電子郵件從受害者那里獲取信息，或者通過(guò)惡意軟件來(lái)捕獲信息。隨著語(yǔ)音模擬技術(shù)的改進(jìn)，攻擊者在其武器庫(kù)中擁有更多的工具，能夠更好的模仿特定人員試圖欺騙他們的受害者。

 

 

 

 

　　對(duì)于銀行和金融機(jī)構(gòu)，只相信借記卡或信用卡背面列出的官方電話號(hào)碼。永遠(yuǎn)不要使用通過(guò)電子郵件、短信或在其他不知所以然的電話中泄漏銀行信息。