商业邮件泄露和深度伪造音频的组合,导致了一名分行经理向骗子转了数百万美元,这是对组织的一个警告。
根据上周美国联邦法院提交的一份请求显示,一群欺诈者使用伪造的电子邮件和深度伪造的音频说服了一家阿拉伯联合酋长国公司的一名员工,邮件和音频的主要内容是一名董事要求这笔钱作为收购另一家公司的一部分,骗取了该懂事就职公司的3500万美元。
这次攻击的目标是一名分行经理,其中的电子邮件似乎来自董事和一名美国律师,后者被指定为收购协调员。这是最新一起人工合成音频的攻击,音频是使用机器学习算法(称为神经网络)创建的合成音频,来模仿目标员工认识的人的声音。
从这件事件可以看出,deepfake 音频和合成语音将来可能会成为网络犯罪技术的一部分。网络安全公司 Cato Networks 的高级安全策略总监 Etay Maor 表示,有多种开源工具可供任何人创建视频和音频的深度伪造。
Maor 说:“如果有钱可赚,可以肯定,攻击者会使用新技术,使用这样的工具并不复杂。语音就更容易了。”
2019 年,一家德国公司在英国的子公司的经理接到了一个电话,听起来像是他以前见过的德国首席执行官打来的。应假首席执行官的要求,他将 220,000 欧元转给了一个假想的供应商。直到两天后冒充首席执行官的同一个人再次打来电话,要求再支付 100,000 欧元时,经理才开始怀疑。然后他注意到电话号码来自奥地利,而不是德国。
Maor 说,这些攻击的成功取决于信任。大多数公司的解决方案将不得不回到“从不信任,始终验证”的状态。
他说:“我们将不得不在这个关系世界中采用一些零信任的原则。”
据称,一名美国律师被指定负责监督此次案件的调查,阿联酋的调查追踪了两笔总计 415,000 美元的转账,这些转账存入美国 Centennial 银行的账户。
“在 2020 年 1 月,在一个复杂的计划中,资金从受害者公司转移到其他国家的几个银行账户,涉及至少 17 名已知和未知的被告,”受害者公司向美国哥伦比亚特区地方的法院提出的请求说。“当局法院通过多个账户追踪了资金的流动,并确定了两笔资金转到美国。”
该请求要求法院指定一名美国司法部律师作为在美国进行调查的联系人。
使用生成对抗性神经网络 (GAN) 创建逼真的虚假音频和视频的技术,加剧了人们对深度伪造在政治活动中造成严重破坏的担忧。
技术要求不再是任何想要制作深度造假的人的障碍。Maor说:“估计只需不到五分钟的采样音频即可创建令人信服的合成语音。对于许多企业高管来说,攻击者可以从 Internet 中提取必要的音频。”
他说:“归根结底,一个简单的电话验证请求就可以防止这种情况的发生。”(本文出自SCA安全通信联盟,转载请注明出处。)