AI Voice Spoofing: Kolejna ewolucja w inżynierii społecznej

AI voice spoofing to złośliwe tworzenie syntetycznego dźwięku, który imituje prawdziwe osoby (często menedżerów, kadrę kierowniczą lub personel pomocniczy) w celu popełnienia oszustwa, kradzieży danych uwierzytelniających lub uzyskania dostępu do wrażliwych zasobów.

W przeciwieństwie do tradycyjnego vishingu (phishingu głosowego), nowoczesne ataki wykorzystują uczenie maszynowe i technologię deepfake do klonowania wzorców mowy z zaledwie 30 sekund publicznie dostępnego dźwięku. Atakujący następnie wykorzystują te realistyczne imitacje w rozmowach telefonicznych w czasie rzeczywistym lub nagranych wiadomościach, dzięki czemu inżynieria społeczna jest bardziej wiarygodna i szkodliwa niż kiedykolwiek wcześniej.

Gwałtowny wzrost pracy zdalnej, zwiększone wykorzystanie spotkań cyfrowych i obfita ekspozycja głosów kadry kierowniczej w Internecie stanowią podatny grunt dla podmiotów stanowiących zagrożenie. Audio deepfake może być wystarczająco przekonujące, aby ominąć ludzką podejrzliwość, szczególnie w sytuacjach wysokiego stresu lub pilnych scenariuszy. Więcej informacji można znaleźć w Adaptive Security: AI vishing dangers i McAfee: Deepfake voice scams.

Zagrożenia, studia przypadków i rzeczywisty wpływ ataków głosowych z użyciem sztucznej inteligencji na biznes

W miarę jak sztuczna inteligencja staje się coraz bardziej dostępna, atakujący wdrażają teraz skrypty, a nawet interaktywne boty głosowe, aby przeprowadzać wysoce ukierunkowane ataki. Ostatnie studia przypadków pokazują, że atakujący podszywają się pod dyrektorów generalnych lub szefów finansów, przekonując pracowników do przelewania pieniędzy, ujawniania roszczeń lub omijania kontroli bezpieczeństwa. W jednym z głośnych przykładów brytyjska spółka zależna firmy energetycznej straciła 243 000 USD po tym, jak oszuści wykorzystali głos generowany przez sztuczną inteligencję, aby podszyć się pod jej dyrektora generalnego podczas rzekomego pilnego przelewu. Małe i średnie firmy są coraz bardziej zagrożone, ponieważ nie mają dedykowanych zasobów do weryfikacji każdego żądania. Technologia ta jest również wykorzystywana do wyłudzania danych uwierzytelniających, zbierania wiadomości głosowych i manipulowania systemami przekierowywania połączeń. Ryzyko prawne i związane ze zgodnością z przepisami powstaje, jeśli rozmowy z klientami lub poufne dane wyciekną z powodu inżynierii społecznej opartej na głosie. Więcej informacji i przypadków zapobiegania można znaleźć na stronie Right-Hand: Deepfake vishing 2025 i CrowdStrike: Zagrożenia związane z vishingiem.

Taktyka obrony: weryfikacja, polityka i narzędzia wykrywania nowej generacji

Firmy muszą przyjąć proaktywne podejście do przeciwdziałania spoofingowi głosowemu AI. Po pierwsze, należy ustanowić jasny proces weryfikacji dla wszystkich żądań głosowych dotyczących poufnych informacji lub transakcji - nigdy nie należy polegać wyłącznie na identyfikatorze dzwoniącego i używać znanej dodatkowej metody kontaktu w przypadku działań o wysokiej wartości. Przeszkol pracowników, aby rozpoznawali taktyki, takie jak pilna potrzeba, podszywanie się pod autorytet lub żądania, które omijają pisemne procesy. Rozważ wdrożenie rozwiązań zapobiegających oszustwom głosowym i narzędzi do wykrywania anomalii, które oznaczają podejrzane połączenia lub analizują dźwięk pod kątem głębokich podróbek. Zmiany zasad - takie jak wieloosobowe zatwierdzenia i niezależne kontrole połączeń zwrotnych - mogą znacznie zmniejszyć ryzyko. Firmy powinny być na bieżąco z najnowszymi ramami prawnymi i dzielić się informacjami o zagrożeniach w swoim sektorze. Bardziej praktyczne mechanizmy obronne zostały opisane w Group-IB: Zapobieganie Vishingowi i Blue Goat Cyber: Vishing tactics.

Aby dowiedzieć się więcej o tym, jak spoofing wpływa na firmy w innych branżach, zobacz nasz artykuł o podstawach spoofingu i sposobach zapobiegania mu.