音频内容的日趋流行。有声读物已成为一个数十亿美元的产业,主流音乐流媒体平台也扩大了播客服务,初创公司推出了多个专门的音频社交网络,最新的一家是Airchat。
多份报告显示,语音信息在年轻一代中正在变得越来越流行。一项研究表明,41%的受访者表示他们注意到近年来语音笔记有所增加,其中84%的Z世代表示他们正在使用语音信息。
随着语音笔记的流行度增加,恶意行为者正试图利用这一趋势谋取利益。
据悉,首例成功用于诈骗的人工智能生成的音频深度伪造发生在2019年,当时诈骗者冒充英国一家能源公司的首席执行官,受害者被骗243,000美元。
自此之后,多次有人试图在各种欺诈计划中利用音频深度伪造。
总体而言,据身份验证和深度伪造解决方案提供商Subsub估计,第一季度音频和视频深度伪造的数量合计比去年同期增长了245%,美国是检测到的深度伪造数量最多的国家之一。
鉴于今年美国将举行选举,我们很可能会看到更多将这项技术用于恶意目的的例子。
网络罪犯的超能力
安全解决方案提供商 Nametag 的首席执行官 Aaron Painter 表示,音频深度伪造技术越来越多地被用于网络攻击,特别是与身份相关的攻击。
账户接管攻击尤为常见,因为这对网络罪犯来说最有价值。
Painter 表示:“接管某人的账户可以让你控制该账户可以访问的所有内容。对于员工账户,这意味着植入勒索软件或访问公司敏感数据。对于客户账户,则可以劫持社交媒体或银行账户。深度伪造让这一切变得更容易。它们就是网络罪犯的超能力。”
账户接管攻击的一个例子是SIM卡交换攻击。网络罪犯会试图将合法所有者的电话号码转移到欺诈者的SIM卡上。一旦成功,就可能会接收到银行和其他金融机构发送的代码,进而造成财务损失。
Painter表示,我们未来很可能会看到更多伴随音频深度伪造的账户接管攻击案例。
他还预计,音频深度伪造将在冒充他人方面得到广泛应用,甚至可能引发国家之间的政治紧张局势。
音频深度伪造技术日益兴起的主要原因是用于创建它们的技术的快速发展。
Painter 指出,2020 年,像Descript这样的平台需要20分钟的脚本才能生成音频深度伪造,而现在只需几秒钟的播客录音就足以让恶意行为者得逞。
“如果你想欺骗高级语音生物识别系统,那么你可能需要更高的质量。但你不一定总是需要非常高的质量才能在攻击中取得成功。”
预计恶意软件攻击将激增
MIRA Safety的首席执行官Roman Zrazhevskiy预计网络罪犯将利用语音信息日益增长的趋势。
过去,我们看到基于文本的网络钓鱼活动兴起,它紧随电子邮件欺诈之后,取代了传统的电话和语音邮件欺诈方案。Zrazhevskiy认为,下一波网络犯罪活动将始于语音信息。
据他所说,基本的欺诈者会试图通过文本或语音备忘录要求提供账户密码、信用卡信息、银行信息,甚至是危险的位置详情。
“但更高级的犯罪分子会做得更深入,他们可能会冒充你圈子里的人,以增加信任和紧迫感。这些骗局往往是为了勒索钱财或财务信息,”Zrazhevskiy 表示。
“尽管我们也可能会看到恶意软件攻击激增,这很可能是由受害者被语音笔记提示下载某个应用程序所驱动的,他们以为这是朋友通过语音消息推荐的,并附有直接链接。
他指出,真正的问题是深度伪造技术的普及。不需要特别高级的技术人员,只需上传几个音频文件,然后让基于人工智能的生成器创建类似的音频片段。”
年轻用户风险意识较低
Casaba Security的联合创始人Jason Glassberg也预计,下一波网络攻击将利用发送语音笔记的习惯。
“请注意,大多数人——尤其是年轻人——现在已经非常清楚在文本交换过程中,钓鱼、短信诈骗甚至对话劫持的风险,”他表示。“当书面消息中出现某些不对劲或不太正常的内容时,比如财务请求,他们更可能持怀疑态度。但语音消息就不同了。它更具说服力,”
Glassberg预计,音频深度伪造将补充各种恶意攻击,从更复杂的股票做空和哄抬股价再抛售的骗局,到虚拟恋情诈骗或虚拟绑架。
网络安全专家兼Code Signing Store高级分析师Michael Hess表示,音频深度伪造可能对法院案件产生重大风险的另一个领域是法庭诉讼。
“设想一下,黑客使用深度伪造技术伪造了一个关键证人的可信音频记录。这可能会影响审判结果,从而破坏法律制度,”他解释道。
如何检测音频深度伪造?
随着音频深度伪造技术的发展,检测它们的工具也在不断进化。许多研究人员正在利用人工智能领域的最新进展来识别虚假内容。然而,不法分子的步伐总是快于检测技术的发展。
Painter表示:“问题在于这是一场军备竞赛,或者说是一场猫捉老鼠的游戏。这是一场人工智能与人工智能之间的较量。总有一方会稍微领先。而今天,更常见的是不法分子领先一步。他们使用的人工智能技术往往比检测器稍好一些。”
据他介绍,确定一段音频是否是深度伪造的最佳方法是评估其上下文,例如考虑发件人的身份以及所使用的渠道。
人们应该对大型群组消息中的录音格外小心。如果是一对一聊天,那么可能值得通过其他沟通渠道与对方联系,以验证录音的真实性。
Glassberg 概述了确定音频深度伪造的关键方法。除了注意编辑或不自然的声音外,关注呼吸也可能有所帮助,因为许多深度伪造的声音都不会呼吸。其他深度伪造的迹象可能还包括不符合角色特点的言论。
文章编译来源:https://cybernews.com/editorial/voice-messages-a-new-frontier-for-cybercriminals/