社交工程攻擊長期以來一直是一種有效的策略，因為它專注于利用人類的弱點。它不需要暴力破解密碼，也不需要尋找未修補的軟件漏洞。相反，它只是通過操縱信任、恐懼和對權(quán)威的尊重等情感，來獲取敏感信息或訪問受保護的系統(tǒng)。

　　傳統(tǒng)上，這意味著攻擊者需要手動研究和接觸目標，這耗費了大量的時間和資源。然而，隨著人工智能(AI)的出現(xiàn)，現(xiàn)在可以大規(guī)模地發(fā)起社交工程攻擊，甚至不需要心理學(xué)專業(yè)知識。本文將介紹AI如何推動新一輪社交工程攻擊的五種方式。

　　1. 音頻深度偽造可能影響了斯洛伐克選舉

　　在2023年斯洛伐克議會選舉前夕，一段錄音浮出水面，內(nèi)容似乎是候選人Michal Simecka與知名記者Monika Todova的對話。這段兩分鐘的音頻討論了購買選票和提高啤酒價格的問題。

　　這段錄音在網(wǎng)上傳播后，被揭露是偽造的，聲音是由AI生成的，且基于說話者的聲音進行了訓(xùn)練。

　　然而，這段深度偽造的音頻在選舉前幾天才被發(fā)布。這讓許多人懷疑AI是否影響了選舉結(jié)果，并導(dǎo)致Michal Simecka所在的進步斯洛伐克黨最終屈居第二。

　　2. 2500萬美元的視頻會議騙局

　　2024年2月，有報道稱，跨國企業(yè)Arup的一名財務(wù)員工遭遇了一起AI驅(qū)動的社交工程攻擊。這名員工參加了一個在線會議，與會者包括他認為是公司首席財務(wù)官(CFO)和其他同事的人。

　　在視頻會議期間，這名財務(wù)員工被要求轉(zhuǎn)賬2500萬美元。由于相信請求來自真正的CFO，員工按照指示完成了交易。

　　最初，他們通過電子郵件收到了會議邀請，這讓他們懷疑自己可能成為釣魚攻擊的目標。然而，在看到似乎是CFO和同事的真人后，信任得以恢復(fù)。

　　唯一的問題是，這名員工是會議中唯一真實的人。其他與會者都是通過深度偽造技術(shù)生成的數(shù)字人物，而資金則流入了詐騙者的賬戶。

　　3. 母親接到100萬美元的贖金電話

　　很多人都收到過類似“嗨，媽媽/爸爸，這是我的新號碼。你能轉(zhuǎn)一些錢到我的新賬戶嗎?”的隨機短信。當以文字形式收到時，人們更容易停下來思考：“這條信息是真的嗎?”然而，如果你接到一個電話，聽到對方的聲音并認出是自己的孩子呢?而且，如果聽起來他們被綁架了呢?

　　這正是2023年在美國參議院作證的一位母親的經(jīng)歷。她接到一個電話，聽起來像是她15歲的女兒打來的。接聽后，她聽到：“媽媽，這些壞人抓住了我。”隨后，一個男聲威脅說，除非支付100萬美元贖金，否則將采取一系列可怕的行動。

　　在恐慌、震驚和緊迫感的驅(qū)使下，這位母親相信了她所聽到的一切，直到后來發(fā)現(xiàn)這通電話是使用AI克隆的聲音制作的。

　　4. 竊取用戶名和密碼的虛假Facebook聊天機器人

　　Facebook曾表示：“如果你收到聲稱來自Facebook的可疑電子郵件或消息，請不要點擊任何鏈接或附件。”然而，社交工程攻擊者仍然通過這種策略取得了成功。

　　他們可能會利用人們對失去賬戶訪問權(quán)限的恐懼，要求他們點擊惡意鏈接并申訴虛假的封禁。他們還可能發(fā)送一個鏈接，并附上問題“這是你在視頻中嗎?”，從而觸發(fā)人們的好奇心、擔憂和點擊欲望。

　　如今，攻擊者在這種社交工程攻擊中加入了AI驅(qū)動的聊天機器人。用戶會收到一封假裝來自Facebook的電子郵件，威脅要關(guān)閉他們的賬戶。點擊“申訴”按鈕后，會彈出一個聊天機器人，要求用戶輸入用戶名和密碼。支持窗口帶有Facebook的品牌標識，實時互動中還包含“立即行動”的請求，進一步增加了攻擊的緊迫感。

　　5. 深度偽造的澤連斯基總統(tǒng)呼吁“放下武器”

　　俗話說，戰(zhàn)爭中的第一個犧牲品是真相。只是有了AI，真相現(xiàn)在也可以被數(shù)字化重塑。2022年，一段偽造的視頻似乎顯示烏克蘭總統(tǒng)澤連斯基敦促烏克蘭人投降并停止與俄羅斯的戰(zhàn)爭。這段錄音通過被黑客入侵的烏克蘭24電視臺播出，隨后在網(wǎng)上傳播。

澤連斯基總統(tǒng)深度偽造視頻的截圖，面部和頸部膚色存在差異

　　許多媒體報道指出，這段視頻存在太多錯誤，難以被廣泛相信。例如，總統(tǒng)的頭部與身體比例不協(xié)調(diào)，且角度不自然。

　　盡管AI在社交工程中的應(yīng)用還處于相對早期階段，但這類視頻往往足以讓人們停下來思考：“如果這是真的呢?”有時，只需在對手的真實性中引入一絲懷疑，就足以贏得勝利。

　　AI將社交工程推向新高度：如何應(yīng)對?

　　對于組織來說，最大的挑戰(zhàn)在于社交工程攻擊針對的是情感，并喚起了我們作為人類的本能反應(yīng)。畢竟，我們習(xí)慣于相信自己的眼睛和耳朵，并愿意相信被告知的內(nèi)容。這些都是無法簡單地關(guān)閉、降級或置于防火墻之后的自然本能。

　　再加上AI的崛起，這些攻擊顯然將繼續(xù)在數(shù)量、種類和速度上不斷涌現(xiàn)、演變和擴展。

　　因此，我們需要通過教育員工來控制和應(yīng)對他們在收到異常或意外請求時的反應(yīng)。鼓勵人們在完成被要求的事情之前停下來思考。向他們展示基于AI的社交工程攻擊是什么樣子，最重要的是，讓他們感受到實際攻擊中的情感操縱。這樣，無論AI發(fā)展得多快，我們都可以將員工轉(zhuǎn)變?yōu)榈谝坏婪谰€。

　　以下是一個三點行動計劃，供你參考：

　　與員工和同事討論這些案例，并針對深度偽造威脅進行專門培訓(xùn)——提高他們的意識，并探討他們應(yīng)該如何應(yīng)對。

　　為員工設(shè)置一些社交工程模擬場景——讓他們體驗常見的情感操縱技巧，并識別他們在真實攻擊中的自然反應(yīng)。

　　審查組織的防御措施、賬戶權(quán)限和角色特權(quán)——了解潛在攻擊者在獲得初始訪問權(quán)限后的行動路徑。