当心Deepfake语音诈骗

您的工作电话会响铃。您的回答是要被首席执行官的明确声音打招呼。她要求您电汇一些现金，所以您马上就这样做。毕竟，你为什么会第二次猜测老板？

一种新的威胁技术可能很快会让您停下来思考。欢迎来到Deepfake音频世界：骗子可以使用AI软件在组织内部克隆关键人物的声音。从这里，欺诈者可以欺骗公司的奴才进行投标。

这是到目前为止我们所知道的，以及可以最大程度地降低风险的方法。

语音克隆真的是威胁吗？

在现阶段，与既定威胁相反，深层虚假语音欺诈仍属于新兴类别。的华尔街日报最近刊登了一个涉及20万美元以上骗局的案例的故事，以说明我们很快会遇到的问题。这是发生了什么...

一家不具名的英国能源公司的首席执行官接到了一个他认为是他老板的人的电话。该公司德国母公司的负责人。
致电者告诉英国首席执行官，在一小时内将相当于243,000美元的款项转移给匈牙利供应商。
该事件背后的欺诈者似乎使用了基于AI的软件来模仿德国首席执行官在电话中的声音。这位英国首席执行官意识到他老板的德国口音和声音中的独特节奏。
钱转入匈牙利的银行帐户后，随后被转至墨西哥，再分配到其他地方。

专注于检测语音欺诈的公司Pindrop表示已经发现大约十几个实例到目前为止的Deepfake音频扫描。

它是如何工作的？

这种骗局背后的技术正在迅速发展。

例如，去年7月，英国广播公司报告了安全公司Symantec的发现。当时，Symantec（赛门铁克）曾报道看到三起Deepfake音频被用来欺骗高级管理人员的情况。

但是正如文章所指出的那样，安装这样的骗局需要数小时的高质量音频-例如公司视频，媒体露面和会议主题演讲。这是因为您通常需要语音摘录形式的大量数据来训练和磨练令人信服的语音模型。从理论上讲这种骗局是可行的，但付诸实践既昂贵又费时。

然而，此后不久，有消息传出开源的Github项目使任何人都可以从短短五秒钟的样本音频中有效克隆语音。您只需要输入一个简短的语音样本，该模型就可以立即传递文本到语音的语音。

据报道，仅使用一个简短的样本，结果就令人印象深刻。但是，您可以向模型输入的音频越多越好。如果您的首席执行官目前在一个非常短的YouTube视频中出演明星，那么就有可能创建一个完全令人信服的欺诈工具。

语音克隆正变得越来越容易访问，因此，如果将其更频繁地用作攻击手段，这将不足为奇。

保持安全的秘诀？

语音克隆基本上是“告密”的高科技变体，也就是说，欺诈者利用电话来诱骗人们交钱或泄露个人信息。只是，在一次经典的垂钓尝试中，欺诈者通常假装来自另一家公司，并且依赖于您不了解他们假装的人的声音。

相比之下，语音克隆依赖于熟悉程度，以使您陷入一种错误的安全感：您识别语音，因此可以按照语音说的去做。

除了让您的高级经理宣誓保持在线沉默之外，您还可以做很多事情来防止您的组织成为目标。就是说，您可以按照某些程序来阻止任何欺诈企图。

多因素授权。 这些骗局在一定的假设下起作用：它所要做的只是一个人发出的一条语音消息，并且将执行特定的操作。对于诸如财务交易和信息移交之类的敏感操作，您应该设置适当的流程。这些过程应由多个步骤组成，理想情况下涉及不同的渠道。例如，在进行大笔交易的情况下，您应规定通过电话始终应通过电子邮件备份请求。欺诈者克隆关键内部人员声音的可能性很小和入侵了他们的帐户。

该规则适用于所有人。 语音克隆欺诈者做出了另一个重要的假设：人们将永远按照老板的要求去做。但是，当然，如果老板遵循与其他所有人相同的规则，他们将不会打电话订购现金转账。相反，他们将遵循与其他所有人相同的程序。突然发出的紧急呼叫，无论听起来多么令人信服，都将立即被标记为可疑。

提醒您，要使安全策略生效，您需要组织内每个人的支持。不管多么重要！

弥敦楼

内森·豪斯（Nathan House）是网络安全培训和咨询公司Station X的创始人兼首席执行官。他在网络安全领域拥有超过25年的经验，曾为全球一些最大的公司提供咨询服务，以确保数百万和数十亿英镑项目的安全。内森（Nathan）是广受欢迎的“完整的网络安全课程”的作者，该课程已被195个国家的200,000多名学生选修。 AI的“ 2020年度网络安全教育家”奖获得者。多年来，他在许多安全会议上发表演讲，开发了免费的安全工具，并发现了领先应用程序中的严重安全漏洞。 PGP指纹：CBA3FBF729FB00CB21D64FB00E7955AE6E37FEF1