密碼管理器LastPass本周透露,有黑客嘗試使用深度偽造技術(Deepfake)對該公司一名員工進行釣魚,不過這名員工發現異常後立即報告,隨後LastPass安全團隊介入,黑客的詭計並未得逞。
黑客並沒有使用深度偽造技術生成視頻,而是偽造 LastPass 首席執行官 Karim Toubba 的聲音,通過 WhatsApp 聯系這名員工要求執行一些不合理的操作。
這名員工看起來還是比較有經驗的,他很快就發現對方存在社會工程學嘗試的許多特征,因此相信自己應該是遭到釣魚。
LastPass 情報分析師透露,在此次案例中至少一名員工收到一系列電話、短信和至少一段語音郵件,在公司內部通常有自己的協作工具,而黑客使用 WhatsApp 來添加和聯系員工也引起懷疑。
此次釣魚沒有對 LastPass 產生任何影響,為此該公司也在對更多員工進行培訓,防止還有黑客繼續通過這種深度偽造 + 社會工程學攻擊。
這種案例對我們也有警示意義,因為現在深度偽造技術已經可以生成逼真的視頻和聲音,LastPass 稱黑客偽造的聲音可能是截圖 Karim Toubba 在 YouTube 上發佈的演講視頻訓練的,以目前的 AI 技術,隻要有一小段你的聲音,那就可以輕松偽造出來幾乎相同的聲音。
所以如果碰到視頻或電話,對方自稱是誰誰誰時一定要提高警惕,尤其是要求執行某些操作、轉賬的時候。
這種社會工程學攻擊通常還伴隨著強制緊迫性,即攻擊者故意編造一些事情聲稱事態緊急需要處理,這樣更容易騙到人。