目前电子邮件网络钓鱼攻击激增35%，但网络犯罪分子已经开始另谋出路，转向更复杂的语音技术，使用先进的Deepfake和语音模拟技术绕过语音授权机制，对用户发起语音钓鱼攻击。

数字风险保护公司Digital Shadows的研究部门Photon Research Team告诉信息安全媒体集团，网络犯罪分子正在将语音钓鱼提升到一个新的水平，使用Deepfake音频或视频技术，使冒充看起来尽可能可信。

研究人员表示，在 Deepfake 音频技术的帮助下，威胁行为者现在可以冒充目标并绕过语音身份验证机制等安全措施来授权欺诈或欺骗受害者的联系人以收集有价值的情报。

越来越多的银行正在使用语音授权来验证客户身份。根据生物识别研究机构更新的一份报告，语音生物识别市场正以22.8%的复合年增长率增长，到2026年将达到39亿美元。

Photon研究人员观察到，攻击者经常以银行账户持有人为目标，预先录制声称来自他们的银行的消息，敦促他们通过电话提供账户凭据。

虽然语音钓鱼并不新鲜，但Photon研究人员指出，Deepfake技术的进步使语音钓鱼尝试看起来比以往任何时候都更加可信。

研究人员告诉ISMG，深度学习AI技术可以创建非常逼真的深度造假，但补充说，模仿的成本与其可信度一致。

研究人员说，"如果攻击者在攻击的侦察阶段获得正确的样本，他们可能不需要语音模拟工具，这对于许多网络犯罪分子来说过于昂贵和复杂。相反，攻击者可以编辑他们的样本以产生他们正在寻找的任何声音。

安全措施可能要求身份验证者说出他们的姓名，出生日期或预定短语。在这种情况下，攻击者需要做的就是播放预先录制的短语。

研究人员发现了一个威胁行为者，宣传一种语音钓鱼服务，该服务可以创建，克隆和托管定制的语音机器人，包括"复杂的电话交互式响应系统"。与钓鱼相关的服务的基本价格为1000美元。额外的定制需要额外的成本。

网络犯罪分子如何使用语音钓鱼

"Deepfake技术可以实时改变或克隆声音，从而对一个人的声音进行人工模拟，"Photon研究人员说。

研究人员表示，为了选择目标，网络犯罪分子使用开源情报技术，对开放端口和易受攻击的设备进行主动和被动扫描，或者筛选包含受损凭据的泄漏的数据库。

研究人员表示，在瞄准目标后，攻击者可能会冒充买家与目标组织中的权威人士交谈，并提出的问题以引发语音样本。他们可能会记录对话，并将样本用作参考，以便以后模仿或拼接。

有时，简单的语音冒充被证明是不够的，Photon Research团队引用了一个实例，其中当目标公司指示攻击者将文档发送到公司电子邮件ID时，尝试的语音钓鱼攻击遇到了障碍。

面对意想不到的障碍，攻击者提出向犯罪论坛上的社会工程师支付1，000卢布， 大约13.5美元 ，他们可以欺骗受害者点击他或她将在电话上收到的链接。当语音钓鱼攻击与常规网络钓鱼攻击结合使用时，研究人员称之为"混合策略" 。

研究人员强调了2020年的大规模混合行动，其中攻击者通过声称自己是IT支持来瞄准公司的新员工，并提供解决VPN访问问题。攻击者通过"故障排除"电话或让他们在欺骗性的VPN访问门户上输入凭据，成功地获得了毫无戒心的新员工的VPN凭据。

Photon Research团队表示，他们遇到了网络犯罪分子，他们正在讨论一种商用软件，该软件用于改变声音，以改善角色扮演游戏或RPG中的人机交互。

高级软件，如AV语音转换器软件，可以以$ 99.95的价格购买，而其他软件如Voicemod则免费提供。

Photon Research团队表示，Deepfake技术和语音模拟工具不仅用于传播网络攻击，还用于传播虚假信息。当局并没有忽视这一点。

据CNN Business报道，五角大楼通过国防高级研究计划局（DARPA）正在与主要研究机构合作开发检测Deepfake的技术。

原文转自inforisktoday，作者苏米克·戈什，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！