Siapa yang menelepon? Ancaman serangan Vishing yang bertenaga AI

Bayangkan menerima telepon dari seorang pejabat tinggi, dengan segera meminta transfer kawat untuk menyelesaikan krisis nasional. Ini adalah kasus untuk beberapa pengusaha kaya Di Italia baru -baru inimeninggalkan mereka dalam posisi yang canggung.

Namun, itu sebenarnya penipu menyamar sebagai Menteri Pertahanan Italia Guido Crosetto, mencoba menipu individu agar mentransfer sejumlah besar uang.

Ini adalah contoh Vishing – ancaman keamanan siber yang berkembang yang berisiko menjadi nuklir berkat AI.

Vishing, atau “phishing suara,” adalah bentuk rekayasa sosial di mana scammers menggunakan panggilan telepon untuk menipu para korban untuk mengungkapkan informasi sensitif atau melakukan pembayaran curang.

Sementara Vishing tradisional mengandalkan peniruan manusia, AI sekarang memungkinkan para penyerang untuk menghasilkan suara sintetis yang sangat meyakinkan, bahkan mengkloning suara individu nyata.

Bagaimana suaramu bisa dikloning?

AI dapat membuat suara manusia yang realistis menggunakan sintesis Text-to-Speech (TTS) dan teknik pembelajaran yang mendalam. Model canggih seperti Google DeepMind’s Wavenet Dan vokoder bertenaga AI dapat meniru pola bicara manusia dengan akurasi yang luar biasa.

Microsoft mengklaim bahwa suara dapat dikloning hanya dalam tiga detikyang berarti scammer dapat menelepon seseorang untuk percakapan yang sangat singkat dan kemudian membuat suara AI yang realistis hanya menggunakan rekaman itu.

Vishers biasanya akan menyamar sebagai bank, lembaga pemerintah, atau eksekutif perusahaan untuk mengeksploitasi kepercayaan korban. Mereka menggunakan urgensi, otoritas, dan manipulasi emosional untuk menekan target menjadi kepatuhan.

Vishing yang ditingkatkan AI lebih dapat dipercaya dan lebih sulit untuk dideteksi, karena seberapa realistis suara kloning.

Ketika digunakan dalam kombinasi dengan teknik rekayasa sosial lainnya seperti phishing (email) dan smishing (SMS), serangan ini bisa sulit dikenali bahkan untuk para profesional yang mengerti cyber.

Anatomi serangan ai vishing

Serangan Ai Vishing yang khas cenderung mengikuti proses di bawah ini:

1. Pengintaian: Penyerang mengumpulkan informasi pribadi tentang target.
2. Panggilan spoofed: Menggunakan suara yang dihasilkan AI dan ID penelepon palsu, penyerang menyamar sebagai entitas tepercaya.
3. Urgensi dan manipulasi: Penipu menciptakan rasa darurat, mengklaim pelanggaran keamanan, pembayaran yang sudah lewat, atau krisis.
4. Ekstraksi Informasi: Korban ditekan untuk mengungkapkan kredensial, mentransfer uang, atau memasang perangkat lunak berbahaya.
5. Serangan tindak lanjut: Penyerang dapat memperkuat penipuan mereka melalui email phishing atau pesan smishing.

Beberapa penjahat dunia maya juga menawarkan “Vishing-as-a-Service” (VAAS), di mana mereka menjual bakat mereka kepada penipu yang kurang terampil. Layanan ini termasuk kloning suara AI dan otomatisasi Robocall, membuat penipuan canggih dapat diakses oleh serangkaian penyerang yang lebih luas.

Ketika hambatan untuk masuk semakin rendah, kemungkinan kita akan melihat semakin banyak serangan Vishing selama beberapa tahun mendatang.

Bagaimana jika Anda pikir Anda menjadi sasaran Vishing?

Ai Vishing adalah ancaman cyber yang serius dan berkembang. Dengan AI membuatnya lebih mudah untuk menyamar sebagai suara tepercaya, bisnis, dan individu harus tetap waspada.

Dengan menerapkan langkah -langkah otentikasi, mendidik karyawan, dan mengadopsi praktik terbaik keamanan, organisasi dapat mengurangi paparan mereka terhadap serangan Vishing.

Kunci pertahanan adalah kesadaran – jangan percaya suara pada nilai nominal, terutama ketika uang atau informasi sensitif ada di telepon.

Tanda -tanda serangan Vishing

• Robocalls tak terduga diikuti oleh panggilan pribadi.
• Tuntutan mendesak untuk pembayaran atau data sensitif.
• Kualitas audio yang buruk atau pola suara yang tidak wajar.
• Panggilan dari nomor yang tidak dikenal atau pada waktu yang aneh.
• Permintaan untuk memotong prosedur keamanan standar.

Praktik terbaik untuk individu

• Jangan pernah berbagi informasi sensitif melalui telepon kecuali Anda dapat memverifikasi penelepon.
• Biarkan nomor yang tidak diketahui pergi ke voicemail dan tinjau pesan sebelum menanggapi.
• Verifikasi permintaan yang tidak biasa menggunakan saluran komunikasi sekunder, atau gunakan Otentikasi Multi-Faktor (MFA) Untuk memverifikasi penelepon membuat permintaan sensitif.
• Daftarkan nomor telepon dengan registri “jangan panggil” dan aktifkan fitur pemfilteran panggilan.

Langkah -langkah Keamanan Perusahaan

• Menerapkan protokol otentikasi yang kuat di Meja Layanan untuk memverifikasi penelepon.
• Membutuhkan verifikasi multi-langkah untuk transaksi sensitif.
• Latih karyawan untuk mengenali bendera merah Vishing.
• Gunakan pemantauan panggilan berbasis AI untuk mendeteksi aktivitas penipuan.
• Batasi informasi karyawan yang tersedia untuk umum untuk mengurangi risiko penargetan.

MGM Resorts Hack

Itu MGM Resorts Hack adalah contoh utama bagaimana Vishing dapat digunakan untuk memotong keamanan dan mendapatkan akses yang tidak sah ke sistem kritis. Para penyerang, yang diyakini sebagai bagian dari Grup Ransomware Alphv/Blackcat, dimulai dengan meneliti karyawan MGM di LinkedIn.

Mereka kemudian menyamar sebagai karyawan dan menelepon MGM Service Desk, menyamar sebagai anggota staf dan meminta akses ke akun mereka.

Karena para penyerang meyakinkan dan mengeksploitasi kesenjangan dalam proses otentikasi MGM, mereka dapat memotong pemeriksaan keamanan dan mendapatkan masuk ke dalam sistem.

Akses awal ini menyebabkan pelanggaran data besar -besaran, biaya MGM resor jutaan dalam pendapatan dan menyebabkan gangguan sistem yang meluas, termasuk masalah dengan pemesanan, pembayaran elektronik, dan mesin slot di kasino.

Lindungi meja layanan Anda dari Vishing

Agen Meja Layanan adalah target utama untuk serangan Vishing karena mereka sering menangani informasi sensitif dan permintaan otentikasi pengguna. Tanpa protokol verifikasi yang tepat, penyerang dapat menyamar sebagai karyawan, eksekutif, atau vendor untuk mendapatkan akses yang tidak sah ke sistem dan data.

Untuk bertahan melawan ancaman Vishing, organisasi harus menerapkan proses otentikasi yang kuat di meja layanan. Otentikasi Multi-Faktor (MFA) dan teknik verifikasi penelepon dapat membantu mencegah akses tidak sah dan mengurangi risiko serangan rekayasa sosial.

Memastikan bahwa agen dilatih untuk mengenali upaya Vishing dan memverifikasi identitas penelepon sebelum memproses permintaan sangat penting dalam menghadapi ancaman Vishing bertenaga AI.

Dengan Specops Secure Service DeskAnda dapat menegakkan verifikasi pengguna yang kuat sebelum mengizinkan pengaturan ulang kata sandi atau unlock akun. Ini mengurangi risiko peniruan dan melindungi organisasi Anda dari pelanggaran yang mahal.

Ingin memperkuat keamanan Anda terhadap serangan Vishing? Coba Specops Secure Service Desk hari ini.

Disponsori dan ditulis oleh Perangkat Lunak Specops.