如果你的配偶或子女打来电话,哭着告诉你他们被绑架了,你有多大可能会以冷静、审慎的怀疑态度来面对呢?
在人工智能时代的背景下,网络攻击者能将从网络入侵、社交媒体信息搜集等渠道获得的数据与AI相结合,用逼真的手法制造“某人被绑架”的网络骗局。
虚拟绑架如何运作
趋势科技首席威胁防御架构师克雷格·吉布森 (Craig Gibson) 表示,网络攻击者在开始虚拟绑架时首先要确定“被绑架者”的身份信息,以便进一步确定与之关联的父母及其他亲属信息。
在信息搜集方面,攻击者主要通过社交媒体泄露或暗网的数据获取目标信息,而社交媒体情报还有助于确定何时发动攻击,并填充相关细节,使攻击更加逼真。
今年4月,美国CNN就曾报道过一起攻击者利用人工智能合成一位15岁女孩的声音,并向其母亲詹妮弗·德斯蒂法诺 (Jennifer DeStefano) 称“女儿被绑架,需要100万美元赎金”的新闻。这位母亲称,她在“绑匪”打来的未知电话中清楚听到了来自女儿的求救声,其声音、语调和她女儿如出一辙,直到后来女儿本人向她打来电话,这一骗局才被识破。事后,德斯蒂法诺仍对那个虚假但逼真的女儿声音感到恐惧。
人工智能助长绑匪技能
在上述这起案例中,针对德斯蒂法诺的攻击者设法识别出她富有的家庭背景,以及她女儿什么情况下不在她身边,比如案发时她的女儿正在北方参加滑雪比赛训练。
虽然这种手法存在容易被识破的可能,但虚拟绑架仍可以在更多领域进行改进。例如,攻击者可能会利用经典的 SIM 卡交换,如果攻击者封锁了德斯蒂法诺女儿的手机,他们可以在她意识到这是场骗局之前就拿到赎金。
趋势科技的研究人员在今年 6 月份的一篇博客文章中写道:“通过使用 ChatGPT,攻击者不仅可以将潜在受害者的大型数据集与音视频信息融合在一起,还可以将其他信号数据(例如通过API连接的地理位置)融合起来。”
理论上,ChatGPT 还可以与文本转语音和自动化软件配合使用,以从人工智能生成的受害者中生成近乎实时的响应。Jolly Roger Telephone 公司曾做过一个实验,该公司使用了一个类似于鲁比-戈德堡(Rube Goldberg)的人工智能和非人工智能软件集合,只使用自动机器人就能方便地与电话推销员通话。
如何防止虚拟绑架
网络犯罪分子选择虚拟绑架而不是传统的网络勒索,其原因就是为了规避自身被发现的风险。目前除了屏蔽未知电话号码或尝试用第二语言说话来迷惑人工智能语音生成器之外,虚拟绑架几乎没有真正的技术解决方案。
吉布森打比方地说道:“你可以把传统的安全架构想象成一个圆圈,圆圈内的一切都受传统安全产品的控制。圈外的一切都是没有安全产品的人类社会。虚拟绑架攻击的是人类社会,因此被抓的几率要小得多。"
参考来源:Virtual Kidnapping: AI Tools Are Enabling IRL Extortion Scams