Произошли глубокие изменения в способах проведения фишинговых атак. Ранее формы фишинга были сосредоточены в основном на электронной почте, но в настоящее время злоумышленники все чаще используют телефонные и голосовые звонки (они же вишинг или голосовой фишинг), чтобы обмануть или скомпрометировать пользователей. В четвертом квартале 2023 года количество атак с использованием vishing выросло на 260% по сравнению с четвертым кварталом 2022 года.
Что такое вишинг?
Вишинг – это разновидность голосового мошенничества или атаки социальной инженерии, при которой злоумышленники связываются с потенциальными жертвами с помощью телефона или голосового вызова, чтобы завоевать их доверие и убедить их выполнить действие или передать конфиденциальную информацию. Атаки с использованием вишинга потенциально более опасны, чем обычные фишинговые атаки, потому что они устанавливают личную связь с целевой жертвой, делая сценарий намного более правдоподобным.
Как работает vishing?
Используя простой телефонный звонок, вишинговые атаки используют человеческие эмоции, такие как жадность, похоть, страх, сострадание или срочность, и обманом заставляют жертв выдать конфиденциальную информацию или совершить какое-либо действие. Например, фальшивая благотворительная организация, запрашивающая пожертвования на благородное дело, такое как помощь при стихийных бедствиях; незнакомец, выдающий себя за сотрудника налоговой службы, угрожающий жертве штрафами или тюремным заключением, если она не произведет немедленную уплату налогов; любовная афера, в которой преступник умоляет жертву перевести средства на неотложную семейную помощь; фальшивый абонент, сообщающий кому-либо о выигрыше в лотерее, где жертва должна оплатить налоги и сборы заранее; случайный звонок от предполагаемого сотрудника ИТ-службы поддержки с просьбой предоставить свои учетные данные, чтобы помочь устранить проблему с доступом или подключением.
Сообщается о новом повороте, связанном со случаями гибридного вишинга, когда злоумышленники используют комбинацию фишинга электронной почты и вишинга для связи с жертвой. Например, в сообщении электронной почты получателю сообщается, что с него была списана плата за услугу и что он должен немедленно позвонить по указанному номеру, чтобы отменить дорогостоящий заказ. Некоторые злоумышленники используют поддельный номер телефона (он же подделка идентификатора вызывающего абонента), чтобы выдавать себя за законное лицо или организацию.
Искусственный интеллект встречается с вишингом: смертельно опасная комбинация
Благодаря растущему распространению и изощренности технологий клонирования голоса на основе ИИ любой может клонировать чужой голос, используя простой 10-15-секундный аудиоклип. (Microsoft утверждает, что может сделать это за три секунды.) Неудивительно, что субъекты угроз уже начали использовать эти инструменты для создания высокоразвитых и целенаправленных фишинговых атак.
Кибератака MGM Resorts, повлекшая убытки в размере около 100 миллионов долларов США (RM470mil), была осуществлена в результате телефонного звонка vishing, в ходе которого злоумышленник выдал себя за обычного сотрудника и позвонил в службу поддержки MGM, чтобы получить учетные данные для доступа. В Южной Корее врач перевел 3 миллиона долларов США (RM14mil) наличными, акциями и криптовалютами киберпреступникам, выдававшим себя за сотрудников региональных правоохранительных органов. В Гонконге сотрудник перевел 25 миллионов долларов США (RM117mil) после общения с финансовым директором deepfake по телефону Zoom. Генерального директора энергетической компании из Великобритании обманом заставили перевести 243 000 долларов США (1,1 миллиона ринггитов), думая, что он взаимодействует со своим немецким коллегой.
Поскольку технологии искусственного интеллекта быстро развиваются, атаки с использованием искусственного интеллекта будут выполняться в массовом масштабе и с высокой точностью. В обычных атаках с использованием искусственного интеллекта используются автоматические записи голоса и робозвонки, в то время как в будущих атаках искусственный интеллект будет использоваться для прямого общения с жертвами. Добавляя оскорбление к травме, мошенничество по телефону из четырех слов является последней угрозой. Мошенники звонят и спрашивают: “Вы меня слышите?” на что жертва отвечает: “Да”. Бум – голос жертвы клонируется.
Как организации могут снизить риск атак с использованием vishing?
Количество фишинговых атак увеличилось на 60% за последний год благодаря технологиям клонирования голоса на основе искусственного интеллекта и глубоким фишинговым атакам. Ниже приведены некоторые рекомендации и лучшие практики, которые организации могут применить для снижения угрозы атак с использованием искусственного интеллекта.:
1. Повысить осведомленность сотрудников о vishing: предотвращение Vishing начинается с постоянного информирования сотрудников о безопасности. Организации должны напоминать сотрудникам о рисках, связанных с vishing, и подчеркивать важность осторожности и бдительности. Включайте примеры и сценарии использования vishing в свои тренинги по безопасности, информационные бюллетени и другие информационные материалы.
2. Инвестируйте в обучение сотрудников: используя упражнения по симуляции фишинга и практические тренинги, сотрудников необходимо научить распознавать атаки с использованием vishing и сообщать о них. Их необходимо научить распознавать тревожные сигналы – незнакомые коды регионов, странный акцент или неожиданные сообщения; внезапные или срочные запросы о денежных переводах и тому подобное.
3. Обновите политики, чтобы отразить риски, связанные с vishing: Политика компании, документация и процессы должны быть обновлены с учетом рекомендаций vishing, чтобы сотрудники четко представляли стандартный кодекс поведения, особенно когда речь идет о голосовых звонках. Если вы беспокоитесь, что звонящий – мошенник, повесьте трубку; подумайте, прежде чем говорить. Никогда не делитесь личной информацией или учетными данными со случайными абонентами, в случае сомнений перепроверьте личность звонящего.
Исследования показывают, что две трети предприятий не готовы иметь дело с атаками vishing и более трех четвертей не инвестируют ресурсы в защиту от голосового мошенничества.
В то время как правительства, телекоммуникационные компании и отраслевые структуры, возможно, пытаются бороться с vishing с помощью таких инструментов, как детекторы подделки звука и голосовая биометрия, организации обязаны обучать сотрудников, чтобы у них был дополнительный уровень защиты от таких коварных кибератак и угроз социальной инженерии.
Related Posts
Искусственный интеллект ускоряет разработку кода быстрее, чем могут успевать команды безопасности
Андрей Карпатый запускает инновационный курс по искусственному интеллекту LLM101n
