社交工程攻擊長(zhǎng)期以來(lái)一直是一種有效的策略，因?yàn)樗鼘Ｗ⒂诶萌祟惖娜觞c(diǎn)。它不需要暴力破解密碼，也不需要尋找未修補(bǔ)的軟件漏洞。相反，它只是通過(guò)操縱信任、恐懼和對(duì)權(quán)威的尊重等情感，來(lái)獲取敏感信息或訪問(wèn)受保護(hù)的系統(tǒng)。

傳統(tǒng)上，這意味著攻擊者需要手動(dòng)研究和接觸目標(biāo)，這耗費(fèi)了大量的時(shí)間和資源。然而，隨著人工智能（AI）的出現(xiàn)，現(xiàn)在可以大規(guī)模地發(fā)起社交工程攻擊，甚至不需要心理學(xué)專業(yè)知識(shí)。本文將介紹AI如何推動(dòng)新一輪社交工程攻擊的五種方式。

1. 音頻深度偽造可能影響了斯洛伐克選舉

在2023年斯洛伐克議會(huì)選舉前夕，一段錄音浮出水面，內(nèi)容似乎是候選人Michal Simecka與知名記者M(jìn)onika Todova的對(duì)話。這段兩分鐘的音頻討論了購(gòu)買選票和提高啤酒價(jià)格的問(wèn)題。

這段錄音在網(wǎng)上傳播后，被揭露是偽造的，聲音是由AI生成的，且基于說(shuō)話者的聲音進(jìn)行了訓(xùn)練。

然而，這段深度偽造的音頻在選舉前幾天才被發(fā)布。這讓許多人懷疑AI是否影響了選舉結(jié)果，并導(dǎo)致Michal Simecka所在的進(jìn)步斯洛伐克黨最終屈居第二。

2. 2500萬(wàn)美元的視頻會(huì)議騙局

2024年2月，有報(bào)道稱，跨國(guó)企業(yè)Arup的一名財(cái)務(wù)員工遭遇了一起AI驅(qū)動(dòng)的社交工程攻擊。這名員工參加了一個(gè)在線會(huì)議，與會(huì)者包括他認(rèn)為是公司首席財(cái)務(wù)官（CFO）和其他同事的人。

在視頻會(huì)議期間，這名財(cái)務(wù)員工被要求轉(zhuǎn)賬2500萬(wàn)美元。由于相信請(qǐng)求來(lái)自真正的CFO，員工按照指示完成了交易。

最初，他們通過(guò)電子郵件收到了會(huì)議邀請(qǐng)，這讓他們懷疑自己可能成為釣魚攻擊的目標(biāo)。然而，在看到似乎是CFO和同事的真人后，信任得以恢復(fù)。

唯一的問(wèn)題是，這名員工是會(huì)議中唯一真實(shí)的人。其他與會(huì)者都是通過(guò)深度偽造技術(shù)生成的數(shù)字人物，而資金則流入了詐騙者的賬戶。

3. 母親接到100萬(wàn)美元的贖金電話

很多人都收到過(guò)類似“嗨，媽媽/爸爸，這是我的新號(hào)碼。你能轉(zhuǎn)一些錢到我的新賬戶嗎？”的隨機(jī)短信。當(dāng)以文字形式收到時(shí)，人們更容易停下來(lái)思考：“這條信息是真的嗎？”然而，如果你接到一個(gè)電話，聽到對(duì)方的聲音并認(rèn)出是自己的孩子呢？而且，如果聽起來(lái)他們被綁架了呢？

這正是2023年在美國(guó)參議院作證的一位母親的經(jīng)歷。她接到一個(gè)電話，聽起來(lái)像是她15歲的女兒打來(lái)的。接聽后，她聽到：“媽媽，這些壞人抓住了我?！彪S后，一個(gè)男聲威脅說(shuō)，除非支付100萬(wàn)美元贖金，否則將采取一系列可怕的行動(dòng)。

在恐慌、震驚和緊迫感的驅(qū)使下，這位母親相信了她所聽到的一切，直到后來(lái)發(fā)現(xiàn)這通電話是使用AI克隆的聲音制作的。

4. 竊取用戶名和密碼的虛假Facebook聊天機(jī)器人

Facebook曾表示：“如果你收到聲稱來(lái)自Facebook的可疑電子郵件或消息，請(qǐng)不要點(diǎn)擊任何鏈接或附件?！比欢?，社交工程攻擊者仍然通過(guò)這種策略取得了成功。

他們可能會(huì)利用人們對(duì)失去賬戶訪問(wèn)權(quán)限的恐懼，要求他們點(diǎn)擊惡意鏈接并申訴虛假的封禁。他們還可能發(fā)送一個(gè)鏈接，并附上問(wèn)題“這是你在視頻中嗎？”，從而觸發(fā)人們的好奇心、擔(dān)憂和點(diǎn)擊欲望。

如今，攻擊者在這種社交工程攻擊中加入了AI驅(qū)動(dòng)的聊天機(jī)器人。用戶會(huì)收到一封假裝來(lái)自Facebook的電子郵件，威脅要關(guān)閉他們的賬戶。點(diǎn)擊“申訴”按鈕后，會(huì)彈出一個(gè)聊天機(jī)器人，要求用戶輸入用戶名和密碼。支持窗口帶有Facebook的品牌標(biāo)識(shí)，實(shí)時(shí)互動(dòng)中還包含“立即行動(dòng)”的請(qǐng)求，進(jìn)一步增加了攻擊的緊迫感。

5. 深度偽造的澤連斯基總統(tǒng)呼吁“放下武器”

俗話說(shuō)，戰(zhàn)爭(zhēng)中的第一個(gè)犧牲品是真相。只是有了AI，真相現(xiàn)在也可以被數(shù)字化重塑。2022年，一段偽造的視頻似乎顯示烏克蘭總統(tǒng)澤連斯基敦促烏克蘭人投降并停止與俄羅斯的戰(zhàn)爭(zhēng)。這段錄音通過(guò)被黑客入侵的烏克蘭24電視臺(tái)播出，隨后在網(wǎng)上傳播。

澤連斯基總統(tǒng)深度偽造視頻的截圖，面部和頸部膚色存在差異

許多媒體報(bào)道指出，這段視頻存在太多錯(cuò)誤，難以被廣泛相信。例如，總統(tǒng)的頭部與身體比例不協(xié)調(diào)，且角度不自然。

盡管AI在社交工程中的應(yīng)用還處于相對(duì)早期階段，但這類視頻往往足以讓人們停下來(lái)思考：“如果這是真的呢？”有時(shí)，只需在對(duì)手的真實(shí)性中引入一絲懷疑，就足以贏得勝利。

AI將社交工程推向新高度：如何應(yīng)對(duì)？

對(duì)于組織來(lái)說(shuō)，最大的挑戰(zhàn)在于社交工程攻擊針對(duì)的是情感，并喚起了我們作為人類的本能反應(yīng)。畢竟，我們習(xí)慣于相信自己的眼睛和耳朵，并愿意相信被告知的內(nèi)容。這些都是無(wú)法簡(jiǎn)單地關(guān)閉、降級(jí)或置于防火墻之后的自然本能。

再加上AI的崛起，這些攻擊顯然將繼續(xù)在數(shù)量、種類和速度上不斷涌現(xiàn)、演變和擴(kuò)展。

因此，我們需要通過(guò)教育員工來(lái)控制和應(yīng)對(duì)他們?cè)谑盏疆惓；蛞馔庹?qǐng)求時(shí)的反應(yīng)。鼓勵(lì)人們?cè)谕瓿杀灰蟮氖虑橹巴Ｏ聛?lái)思考。向他們展示基于AI的社交工程攻擊是什么樣子，最重要的是，讓他們感受到實(shí)際攻擊中的情感操縱。這樣，無(wú)論AI發(fā)展得多快，我們都可以將員工轉(zhuǎn)變?yōu)榈谝坏婪谰€。

以下是一個(gè)三點(diǎn)行動(dòng)計(jì)劃，供你參考：

• 與員工和同事討論這些案例，并針對(duì)深度偽造威脅進(jìn)行專門培訓(xùn)——提高他們的意識(shí)，并探討他們應(yīng)該如何應(yīng)對(duì)。
• 為員工設(shè)置一些社交工程模擬場(chǎng)景——讓他們體驗(yàn)常見的情感操縱技巧，并識(shí)別他們?cè)谡鎸?shí)攻擊中的自然反應(yīng)。
• 審查組織的防御措施、賬戶權(quán)限和角色特權(quán)——了解潛在攻擊者在獲得初始訪問(wèn)權(quán)限后的行動(dòng)路徑。