“Привет, бабушка, это я — твой любимый внук!”: восклицает веселый голос в телефонной трубке. Но несмотря на то, что реплики звучат в точности как голос родного внука, в душу закрадывается сомнение. Должна ли бабушка свободно назвать данные ее карты, который случайно запрашивает ее внук, чтобы получить деньги на “неотложные нужды”? Или этот дружелюбный голос на самом деле принадлежит самозванцу — мошеннику, использующему новейшие технологии синтеза речи, чтобы обокрасть ничего не подозревающих жертв?
В современном мире ПО с искусственным интеллектом, имитирующего голоса, выяснить кто скрывается за “знакомыми” абонентами, представляет собой новый вызов для ИБ-специалистов. Число мошенничеств с подменой голоса продолжает расти как среди частных лиц, так и среди предприятий. По данным экспертов в области кибербезопасности, объем мошенничества в РФ оценивается в сумму от 55 до 150 миллиардов рублей в год. На социальную инженерию приходится 90 процентов всех финансовых преступлений, причем 94 процента из них — это телефонное мошенничество.
Некоторые проверенные методы и новые средства защиты позволяют людям и организациям лучше отличать фальшивые голоса от подлинных. Понимая, какие уловки используют злоумышленники, а также новейшие средства и методы защиты от воровства голоса, граждане смогут более эффективно пресекать угрозы телефонного фишинга.
В этом обзоре мы рассмотрим гонку вооружений между мошенниками, подделывающими знакомые голоса, и новыми средствами индивидуальной и корпоративной защиты.
Искусство фальшивых голосов
Как же мошенникам удается так убедительно копировать чужой голос? На сегодняшний день они используют три основные стратегии, чтобы скрыть свои истинные личности от ничего не подозревающих абонентов на другом конце линии.
Синтез речи с помощью искусственного интеллекта
Голосовое ПО на базе искусственного интеллекта (ИИ) — также известное как дипфейки (deepfakes) — можно запрограммировать на имитацию практически любой человеческой речи. Передавая системам достаточное количество образцов аудиозаписей, продвинутые алгоритмы машинного обучения обучают их воссоздавать голоса , зачастую неотличимые человеческим ухом от подлинников.
Целые клады персональных данных
Чтобы усовершенствовать подделку, алгоритмам требуется большой объем голосовых данных. Мошенники активно используют информацию из социальных сетей, маркетинговых баз данных, компьютерных вирусов-шпионов и других ухищрений, чтобы собрать многочасовые аудиозаписи публичных личностей или обычных потребителей для работы своего голосового программного обеспечения.
Обман при передаче данных
Мошенники часто используют интернет-сервисы для дешевой пересылки сгенерированных ИИ голосовых записей. Намеренно подделывая метаданные, такие как идентификатор звонящего, чтобы они соответствовали контактам жертвы, получателей обманывают, заставляя предположить, что они знакомы, прежде чем ответить.
Поскольку искусственный интеллект ежедневно совершенствует новое речевое программное обеспечение, ожидается, что число мошенничеств с подделкой голоса, воспроизводящего семью, друзей или коллег, будет только расти.
Первые тревожные звоночки
Не всегда даже с самым чутким слухом можно отличить настоящие звонки от преступных самозванцев. Тем не менее, всегда есть намеки, способные выдать хитрого мошенника, скрывающегося за дружелюбным голосом. Обратите внимание на эти ранние знаки, сигнализирующие о том, что неожиданный звонок заслуживает повышенного внимания:
Шаблонное приветствие
Законные друзья или родственники, скорее всего, поприветствуют вас более естественно, используя непосредственно ваше имя, а не заученные фразы вроде “Здравствуйте, бабушка/старший” или общие утверждения вроде “Привет, это я!”. Холодные контакты опираются на заученные привычные сценарии, чтобы симулировать знакомство.
Нагнетание срочности
Мошенники часто торопятся, чтобы предотвратить естественную проверку собеседника. Такие сигналы, как игнорирование личных встреч, настойчивое повторение просьб или заявления о непосредственной угрозе, если платежи не будут обработаны в течение нескольких минут, могут навести на справедливые подозрения.
Необычные конфиденциальные запросы
Большинство компаний учат сотрудников никогда не запрашивать пароли или доступ к учетным записям по телефонной связи. И даже если мошенники выдают себя за IT-специалистов, ссылаясь на соображения безопасности, настоящие администраторы сначала проводят проверку личности. Немедленно бросайте трубку, если у вас напрямую просят деньги или данные для входа в систему без подтверждения своей личности.
Голосовые причуды
Даже надежное речевое программное обеспечение не всегда идеально имитирует знакомые голоса. Неестественные интонации, заикание, неправильное произношение слов или неловкий смех, могут выдать синтезированную подделку. Доверяйте врожденным инстинктам, если при речевом взаимодействии вы чувствуете себя как-то не так, как при общении со знакомым человеком. Обращайте внимание на эти интуитивные реакции.
Корпоративные методы защиты против мошенников
Хотя ответственность за защиту персональных данных лежит на отдельных сотрудниках, организации также должны внедрять структурные щиты, защищающие от рисков голосового фишинга все внутренние команды. Дальновидные учреждения внедряют три основных решения для своей защиты:
Аналитика мониторинга звонков
Сложный искусственный интеллект теперь соответствует инновациям мошенников для аналитики проверки личности. Платформы мониторинга звонков сканируют голосовые паттерны, метаданные и поведенческие признаки, чтобы присвоить неожиданным сообщениям баллы риска. ИБ-команды устанавливают пороговые значения, автоматически отмечая подозрительные посторонние контакты для оценки или блокировки сотрудниками.
Обучение сотрудников мерам безопасности
Постоянное обучение позволяет сотрудникам распознавать тактики социальной инженерии и срочные запросы, направленные на ускорение финансовых операций или доступа к данным. Частые учения с имитацией распространенных мошеннических действий обеспечивают безопасность всей организации.
Система управления доступом
Технические средства контроля устанавливают строгие уровни доступа, определяющие, кто может просматривать или изменять конфиденциальные хранилища данных организации. Привилегированные учетные данные имеют дополнительные средства защиты, такие как вход в систему на основе устройств, тайм-ауты и отслеживание активности для предотвращения ущерба от проникновения одной учетной записи.
Хотя ни одна система защита не предотвращает все вторжения, многоуровневая аналитика, постоянное обучение сотрудников и устойчивая архитектура систем значительно препятствуют попыткам взлома с использованием голосовой имитации. Компаниям целесообразно инвестировать в надежную защиту, независимо от того, сталкиваются ли они с мошенниками, использующими знакомые голоса, или с другими методами вторжения.
Заключение
По мере совершенствования технологий синтеза и манипулирования голосом мошенники неизбежно будут придумывать новые методы проникновения в обход существующих методов защиты.
Однако параллельно с развитием подобных угроз развиваются и эффективные контрмеры из мира ИБ. Появляются новые модели, обнаруживающие мошеннические схемы в миллиардах ежедневных сообщений. Обновленные алгоритмы анализа речи тренируются на растущем пуле новых уловок, раскрываемых ежемесячно. Эта непрекращающаяся гонка вооружений обещает эскалацию прогресса как со стороны создателей мошенничества, так и со стороны борцов с ним. Предприятиям из самых разнообразных сфер следует становиться все бдительней — внедрять многоуровневую защиту, сканировать контакты, использовать средства против несанкционированного доступа и проводить обучение персонала.
Благодаря сбалансированной бдительности и надежным методам проверки пользователи смогут отвечать на звонки, будучи полностью уверенными в том, кто действительно отвечает им на другом конце линии.
Автор: Глеб Верди, специалист по ИБ “Астрал.Безопасность”.
Оригинал публикации на сайте CISOCLUB: "Сила голоса. Как противостоять растущему числу голосовых фишинговых атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.