社交工程是一種極為有效的攻擊手法,因為它專門針對人性弱點。這種攻擊不需要暴力破解密碼或搜尋系統漏洞,而是利用人們對信任、恐懼和權威的情緒反應,藉此取得機密資訊或入侵受保護的系統。
傳統的社交工程攻擊需要投入大量時間和資源來研究並接觸個別目標。但隨著人工智慧發展,駭客現在可以大規模地發動社交工程攻擊,且無需具備心理學專業知識。本文介紹五種型態的 AI 驅動社交工程攻擊手法。
- 利用AI偽造語音影響斯洛伐克大選
2023 年斯洛伐克國會大選前夕,網路上開始流傳一段錄音,內容是候選人 Michal Simecka 與知名記者 Monika Todova 間的對話。這段兩分鐘的音檔中,兩人討論了買票和啤酒價格調漲等議題。調查後證實,這段對話是利用 AI 技術,透過兩位當事人的聲音樣本所製作的深度偽造內容。由於這段深偽音檔在選舉前幾天才出現,許多人認為這起 AI 社交工程攻擊影響了選舉結果,導致 Michal Simecka 所屬的進步斯洛伐克黨只獲得第二名。
-
價值2500萬美元的詐騙視訊會議
2024 年 2 月,跨國企業 Arup 的一名財務人員遭受 AI 社交工程攻擊。該員工參加了一場線上會議,誤以為是與公司財務長和其他同事開會。在視訊會議期間,該員工被要求執行一筆 2500 萬美元的轉帳。由於相信這是來自真實財務長的指示,這位員工便依照要求完成了交易。起初收到會議邀請郵件時,該員工曾懷疑這可能是釣魚攻擊。但在視訊會議中看到似乎是真實的財務長和同事後,戒心就放下了。
然而問題在於,整場會議中只有這位財務人員是真實的。其他所有與會者都是駭客利用深度偽造(Deepfake)技術所製作的數位分身,而這筆錢最終流入了詐騙集團的帳戶。
-
勒索詐騙集團利用AI語音複製技術 詐騙百萬美元
相信許多人都收過類似「媽媽/爸爸,這是我的新號碼,可以幫我轉一些錢到新帳戶嗎?」的簡訊。當我們收到文字訊息時,比較容易冷靜下來思考「這是真的嗎?」但如果接到電話,聽到熟悉的聲音呢?更可怕的是,如果聽起來像是遭到綁架怎麼辦?
2023 年,一位母親在美國參議院作證時分享了她遭遇的AI語音詐騙案例。她接到一通電話,聽到與 15 歲女兒完全相同的聲音。電話中傳來:「媽媽,有壞人抓住我了」,隨後一個男性聲音威脅,除非支付 100 萬美元贖金,否則將對她女兒不利。在恐慌、震驚與緊迫感的影響下,這位母親起初相信了這通電話的真實性。直到後來才發現,這是一場利用 AI 語音複製技術所發動的詐騙。
-
假冒臉書客服機器人 竊取帳號密碼
近期攻擊者更導入了 AI 聊天機器人這項新型態的社交工程攻擊手法。使用者會收到假冒臉書寄出的電子郵件,威脅要關閉其帳號。當使用者點擊「立即申訴」按鈕後,會彈出一個聊天機器人視窗,要求輸入帳號和密碼。這個客服視窗不只帶有臉書的品牌標誌,在即時互動過程中還會催促使用者「立即行動」,藉此製造緊迫感。
-
烏克蘭總統澤倫斯基 遭AI偽造影片呼籲「放下武器」
戰爭中最先犧牲的,往往就是真相。在人工智慧時代,真相更容易被篡改與重製。2022年,一段深偽影片中出現澤倫斯基總統,呼籲烏克蘭人民投降並停止對抗俄羅斯。這段影片首先在遭駭客入侵的 Ukraine24 電視台播出,隨後在網路上迅速傳播。而澤倫斯基總統深偽影片的截圖,可以看到臉部與頸部膚色的差異。根據媒體報導,這段影片存在多處明顯瑕疵。例如總統的頭部與身體比例不協調,頭部擺放的角度也顯得不自然。
雖然 AI 在社交工程攻擊的應用仍處於初期階段,但這類影片仍能引發觀眾懷疑「如果這是真的呢?」有時候,只要在對手的可信度上種下一絲懷疑,就足以達到攻擊目的。
如何對抗AI強化的社交工程攻擊
對組織而言,社交工程攻擊最大的挑戰在於它針對人性的情緒與思維模式。我們與生俱來就習慣相信自己的所見所聞,也容易信任他人的話語。這種本能反應並非像資安設備那樣能夠直接關閉、降級或設置防火牆。
隨著AI技術的進步,這類攻擊必然會在規模、種類和速度上持續擴大演進。
有鑑於此,必須加強教育員工如何正確應對異常或突發的要求。企業組織應鼓勵每位同仁在執行任何要求前,都要先停下來謹慎思考。讓員工親身體驗各種AI社交工程攻擊手法,並更進一步理解這類攻擊如何影響人的心理。透過這樣的準備,即便AI技術持續演進,企業組織也能將員工培養成最堅實的第一道防線。
以下是三項可以立即採取的行動方案:
- 與員工和同事討論這些案例,並針對深偽技術的威脅進行培訓 — 提高警覺意識並學習正確應對方式。
- 為員工設計社交工程模擬演練 — 讓他們實際體驗常見的情緒操縱技巧,了解真實攻擊中可能出現的本能反應。
- 檢視組織的防禦機制、帳號權限與角色特權 — 以掌握攻擊者取得初始存取權後的可能行動路徑。
本文轉載自 TheHackerNews。