网络钓鱼与人工智能：网络钓鱼威胁不断变化的本质

　　网络钓鱼攻击的执行方式发生了深刻的变化。早期形式的网络钓鱼主要集中在电子邮件上，但现在威胁行为者越来越多地利用电话和语音通话(又名网络钓鱼或语音网络钓鱼)来欺骗或危害用户。与2022年第四季度相比，2023年第四季度的钓鱼攻击增长了260%。

　　什么是钓鱼?

　　钓鱼是一种基于语音的欺诈或社会工程攻击，威胁行为者使用电话或语音呼叫与潜在受害者联系，以赢得他们的信任，并说服他们完成某项行动或放弃敏感信息。钓鱼攻击比普通的钓鱼攻击更危险，因为它们与目标受害者建立了个人联系，使整个场景更可信。

　　钓鱼是如何工作的?

　　利用一个简单的电话，钓鱼攻击利用人类的情感，如贪婪、欲望、恐惧、同情或紧迫感，并诱使受害者放弃敏感信息或采取行动。例如，一个虚假的慈善机构要求捐款，为一个高尚的事业，如救灾;冒充美国国税局官员的陌生人威胁受害者，除非他们立即缴纳税款，否则将被罚款或监禁;一个浪漫骗局，犯罪者恳求受害者为家庭紧急情况转移资金;一个假电话通知某人中奖，受害者必须提前缴纳税款和费用;一个自称是IT支持人员的随机电话，要求员工分享他们的凭据，以帮助解决访问或连接问题。

　　据报道，一种涉及混合网络钓鱼实例的新变化是，攻击者使用电子邮件网络钓鱼和网络钓鱼的组合来与受害者通信。例如，一封电子邮件通知收件人，他们已经被收取了一项服务费用，他们必须立即拨打一个号码来取消一笔昂贵的订单。一些不良行为者使用欺骗的电话号码(又名来电显示欺骗)来冒充合法的个人或组织。

　　人工智能与钓鱼:一个致命的组合

　　由于人工智能语音克隆技术的日益普及和成熟，任何人都可以用一个简单的10-15秒的音频片段克隆别人的声音。(微软声称他们可以在三秒钟内完成。)毫不奇怪，威胁行为者已经开始利用这些工具来创建高度先进和有针对性的钓鱼攻击。

　　米高梅度假村的网络攻击造成了大约1亿美元(4.7亿令吉)的损失，攻击者通过一个钓鱼电话执行，攻击者冒充米高梅的正式员工，打电话给米高梅的帮助台获取访问凭证。在韩国，一名医生将300万美元(1400万令吉)的现金、股票和加密货币电汇给冒充地区执法官员的网络犯罪分子。在香港，一名员工在与一名深度造假的首席财务官通过Zoom电话交流后，电汇了2500万美元(1.17亿令吉)。一家英国能源公司的首席执行官被骗转移了24.3万美元(约合110万令吉)，他以为自己是在与德国同行交流。

　　随着人工智能技术的快速发展，钓鱼攻击将以大规模和高精度的方式执行。传统的钓鱼攻击使用自动录音和机器人呼叫，而未来的攻击将使用人工智能与受害者进行实时对话。雪上加霜的是，一个四个字的电话诈骗是最新的威胁。骗子打电话问:“你能听到我说话吗?”受害者回答:“能。”砰，受害者的声音被克隆了。

　　组织如何降低钓鱼攻击的风险?

　　由于基于人工智能的语音克隆技术和深度伪造的网络钓鱼攻击，去年网络钓鱼攻击增加了60%。以下是组织可以采用的一些建议和最佳实践，以减轻钓鱼攻击的威胁:

　　1. 提高员工的钓鱼意识:钓鱼预防从员工持续的安全意识开始。机构必须提醒员工钓鱼的风险，并强调保持谨慎和警惕的重要性。在您的安全培训、通讯和其他意识材料中包括钓鱼示例和场景。

　　2. 投资员工培训:通过网络钓鱼模拟练习和实践培训，员工必须学会识别和报告网络钓鱼攻击。他们必须学会识别危险信号——不熟悉的区号、奇怪的口音或突如其来的信息;突然、意外或紧急要求汇款等。

　　3. 更新政策以反映钓鱼风险:公司政策、文件和流程必须更新钓鱼指导，以便员工清楚地了解标准行为准则，特别是当涉及语音呼叫时。如果你担心打电话的人是个骗子，那就挂断电话;三思而后言。不要与随机来电者分享个人信息或证件，如有疑问，请仔细核实来电者的身份。

　　研究表明，三分之二的企业没有准备好应对钓鱼攻击，超过四分之三的企业没有在语音欺诈保护方面投入资源。

　　虽然政府、电信公司和行业机构可能试图通过深度伪造音频探测器和语音生物识别技术等工具来打击钓鱼，但组织有责任对员工进行教育和培训，这样他们就有了额外的保护，可以抵御这种狡猾和阴险的网络攻击和社会工程威胁。-论坛新闻服务公司

　　×