最近我的声音被盗,让我清醒地认识到人工智能已经有能力造成社会混乱。我被克隆的声音质量吓了一跳,于是决定把同样的软件用于“邪恶”目的,看看能否顺利地从一家小公司窃取到东西。(当然,这一切都是在得到许可的情况下进行的!另外,剧透警告:整个活动执行起来出奇地容易,几乎不费任何时间。)
事实上,自从人工智能的概念在《银翼杀手》和《终结者》等虚构电影中变得更加主流以来,人们就开始质疑这项技术能继续创造出什么样的无限可能性。然而,直到现在,在不断增强的计算机能力和媒体的广泛关注下,我们才看到人工智能以一种既可怕又令人兴奋的方式吸引了全球观众。随着人工智能等技术的日益普及,我们极有可能看到具有破坏性结果的创造性和复杂性攻击的发生。
语音克隆大冒险
我以前在警察部门的工作让我养成了“像罪犯一样思考”的心态。这种方法有一些非常明显的好处,但却没有得到充分的重视:一个人越是像罪犯一样思考甚至行动(而不是真正成为罪犯),他就能得到更好的保护。这对于及时了解最新的威胁以及预测未来的趋势至关重要。
所以,为了测试人工智能目前的一些能力,我不得不再次采取数字罪犯的心态,以道德黑客的方式攻击一家企业!
我询问了一个联系人——姑且叫他Harry——能否克隆他的声音,并用其来攻击他的公司。Harry同意了,并允许我用现成的软件复制他的声音,以此开始实验。对我来说幸运的是,获得Harry的声音相对简单——他经常在自己的YouTube频道上录制业务宣传的短视频,所以我能够将其中的一些视频拼接在一起,以便制作一个好的音频测试平台。几分钟之内,我就复制出了Harry的声音,然后我就可以编辑任何东西,然后用他的声音播放。
为了加大赌注,我还决定通过SIM卡交换攻击(SIM swap attack)来窃取Harry的WhatsApp账户,以增加攻击的真实性——这一步同样是在获得许可的情况下进行的。然后,我用他的WhatsApp账户给他公司的财务总监(姑且叫她Sally)发了一条语音信息,要求她向一位“新承包商”支付250英镑。在行动开始的时候,我知道Harry正在附近的一个岛上吃商务午餐,这给了我一个完美的故事和攻击的机会。
这条语音信息包括Harry在哪里,以及他需要付钱给“楼层设计人员”,并说他会在之后直接发送银行详细信息。在发送给Sally的WhatsApp讯息中,除了语音信息之外,还添加了他的语音验证,这足以让她相信他的请求是真实的。在这条短信发出后的16分钟内,我的个人账户就收到了250英镑。
我必须承认,我对这件事情的简单程度感到无比震惊,我没想到能这么快就骗过Sally,让她相信Harry的克隆声音是真的。
这种程度的操纵之所以有效,是因为存在许多令人信服的相关因素:
- 总裁的电话号码证实了他的身份;
- 我编造的故事与当天发生的事件相符;
- 语音信息听起来很像老板。
在我与公司的汇报过程中,Sally反思道执行请求前确实需要慎之又慎的审核。不用说,该公司已经增加了更多的保障措施来保护他们的资产安全。当然,我也退还了250英镑!
WhatsApp业务模拟
通过SIM卡交换攻击窃取某人的WhatsApp账户可以让攻击变得更可信,而且这种情况比你想象的要常见得多。更重要的是,网络犯罪分子通常不需要费多大力气就能达到恶意目的。
例如,我最近受到了一次攻击,从表面上看,这似乎是可信的。有人在WhatsApp上给我发了一条消息,声称来自我的一位IT公司高管朋友。
这里有趣的一点是,尽管我习惯于验证信息,但这条消息到达时带有链接的联系人姓名,而不是显示为数字。这是特别有趣的,因为我的联系人列表中没有保存它的号码,我认为它仍然会显示为一个手机号码,而不是名字。
显然,他们欺骗的方式很简单,就是创建一个WhatsApp Business账户,你可以在这个账户上添加任何你想要的名字、照片和电子邮件地址,让它立刻看起来很真实。再加上人工智能语音克隆,可以说,我们已经进入了社会工程新时代。
幸运的是,我从一开始就知道这是一个骗局,但很多人可能会落入这个简单的骗局,最终导致资金以金融交易、预付卡或苹果卡等形式流出,这些都是网络窃贼的最爱。
随着机器学习和人工智能技术迅猛发展,并越来越多地为大众所使用,我们正在进入一个新时代:技术开始比以往任何时候都更有效地帮助网络犯罪分子,包括改进所有有助于模糊罪犯身份和行踪的现有工具。
安全建议
回到我们的实验初衷,以下是一些企业所有者应该采取的基本预防措施,以避免成为语音克隆攻击的受害者:
- 不要在业务政策上走捷径;
- 验证人员和流程,例如,与提出请求的人仔细检查任何付款请求,并让转账流程经由至少两名员工签署;
- 随时了解最新的技术趋势,并相应地更新培训和防御措施;
- 对所有员工进行特别的/针对性的意识培训;
- 使用多层安全软件;
- 以下是一些防止SIM卡交换攻击的建议:
- 限制您在网上分享的个人信息;如果可能的话,避免发布您的地址或电话号码等详细信息;
- 限制可以在社交媒体上看到您的帖子或其他资料的人数;
- 小心网络钓鱼攻击和其他引诱您提供敏感个人资料的企图;
- 如果您的手机供应商为您的手机账户提供了额外的保护,比如PIN码或密码,一定要使用它;
- 使用双因素身份验证(2FA),特别是身份验证应用程序或硬件身份验证设备。
事实上,使用2FA的重要性不能被低估,确保在您的WhatsApp账户和任何其他提供2FA的在线账户上也启用它。
原文链接:https://www.welivesecurity.com/en/cybersecurity/your-voice-is-my-password/
