似乎只要一提到技术进步,就会发现滥用技术的情况. 从彻底改变全球商业的飞机被用于恐怖袭击,到基因技术可用于靶向药物和生物武器, technology often is a double-edged sword.
互联网本身就是技术滥用危险的活生生的例子. 最初是为了方便交流而建的, 它的结构本身就使它容易被恶意行为者利用. Case in point: phishing. Before the internet and webmail, 一个骗子必须把信寄出去,让足够多的人回应,最终欺骗他们, a venture that involved significant effort, expense and risk. 今天,只需要一个邮件列表和邮件合并就可以自动生成消息. Similarly, a bank robber had to run the gauntlet of guards, 枪支和保险箱,让他拿到任何有价值的东西. 今天, 黑客可以从世界另一端的无引渡国家入侵银行系统,并获得100倍的资金.
Artificial Intelligence (AI) is an emerging technology 这可以很好地定义本世纪人类的发展,以及另一项技术 wide open to misuse.
在商业电子邮件攻击中使用人工智能和Deepfake技术
虽然我们离《澳门赌场官方下载》那样的好莱坞末日场景还很远 天网, 犯罪分子已经利用技术模仿人类的能力来进行商业电子邮件入侵(BEC)攻击. BEC是一种针对进行电汇支付的澳门赌场官方下载和个人的复杂骗局, one that has netted an astounding 根据美国联邦调查局(FBI)的数据,从2013年到2018年,这一数字为120亿美元。.
Historically, 典型的BEC攻击是这样进行的:攻击者向公司的会计部门发送一封电子邮件(据称来自高级管理人员), asking them to wire money to a fraudulent account. 会计没有理由怀疑这封电子邮件是非法的,因此发送了电报. It happens that fast, as shown in the case of “Shark Tank” star Barbara Corcoran. 同样的场景也可以复制到房地产托管公司. In this case, a hacker impersonates an escrow employee, 向物业买家发送欺诈性付款指示. 因为买家期望为即将到来的购买电汇付款, 他或她可能在将资金转移到欺诈者的账户之前没有确认. 这是一次又一次成功的攻击. 然而, 如果收到要求付款的电子邮件的人在交易开始前通过电话与高管或托管公司的员工交谈, the fraud could be uncovered. 随着人工智能进入网络攻击者的武器库,情况就不再是这样了.
In August of 2019, the Wall Street Journal reported 一家英国能源公司的首席执行官收到一封电子邮件(据说是来自他的老板)的案例, 德国母公司的首席执行官)要求220欧元,000 ($243,000) be wired to a Hungarian supplier. 这封电子邮件之后,立即接到了一个电话,重申了这些指示 in the CEO’s voice. 后来发现,这个声音是用一种可以“模仿声音”的人工智能软件模仿的, and not only the voice: the tonality, the punctuation, the German accent.”
的 Washington Post reported that this is not an isolated attack. 根据赛门铁克的说法,这种类型的攻击已经发生了 at least three times in recent past. 考虑到许多组织普遍不愿披露网络攻击, the actual number may be higher.
Some tips to protect from Deepfake voice fraud
This is a developing situation, 但我们可以采取一些措施来打击这种使用“Deepfake”语音欺诈的行为:
- 接听电话的人应该主动拨打电话,而不是听信对方的来电. 除非冒牌货的手机被入侵,否则打给那个人一个电话就能发现真相. 事实上, in the example above, 当这位英国首席执行官打电话给他的老板时,他避免了第二次欺诈性的资金转移请求.
- 收信人应该坚持视频对话. Note that this is not foolproof. 虽然Deepfake语音技术目前比其视频技术更成熟,但它是一项非常成熟的技术 latter is catching up.
- Similar to multifactor authentication, 应建立允许独立核查渠道的机制. Some options are internal chat (e.g., 松弛, (Skype)预定的代码字或短语(每个资金转账请求都必须包含它们), 等.
As this threat becomes more mainstream, 我希望好人能挺身而出,想出有效的对策. 类似于可以检测恶意代码的反恶意软件, 专门的软件应该能够检测深度伪造. 事实上, several top tech players have already started collaborating in this area. 然而, 有一件事是肯定的——随着人工智能变得越来越先进,人类的耳朵和眼睛会被愚弄. 因此,要意识到你不能总是相信你所听到或看到的.
