Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Giọng nói của bạn là mật khẩu của tôi – những rủi ro của việc nhân bản giọng nói do AI điều khiển

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 87

Bảo mật kỹ thuật số

Nhân bản giọng nói do AI điều khiển có thể khiến mọi việc trở nên quá dễ dàng đối với những kẻ lừa đảo – Tôi biết vì tôi đã thử nghiệm tính năng này để bạn không phải khó khăn tìm hiểu về những rủi ro.

Jake Moore

Jake Moore

Tháng Mười Một 22 2023
 • 
,
6 phút đọc

Giọng nói của bạn là mật khẩu của tôi

Gần đây trộm giọng nói của tôi đã đưa tôi đến một ngã ba mới về việc AI có khả năng gây ra sự gián đoạn xã hội như thế nào. Tôi quá ngạc nhiên trước chất lượng của giọng nói nhân bản (và theo phong cách cực kỳ thông minh nhưng hài hước của một trong những đồng nghiệp của tôi) đến nỗi tôi quyết định sử dụng cùng một phần mềm cho các mục đích “bất chính” và xem mình có thể tiến xa đến đâu. để ăn trộm từ một doanh nghiệp nhỏ – tất nhiên là phải có sự cho phép! Cảnh báo về spoiler: việc thực hiện dễ dàng đến mức đáng ngạc nhiên và hầu như không mất thời gian.

“AI có thể là điều tốt nhất hoặc tồi tệ nhất xảy ra với nhân loại.” – Stephen Hawking

Thật vậy, kể từ khi khái niệm AI trở nên phổ biến hơn trong các bộ phim hư cấu như Blade Runner và The Terminator, mọi người đã đặt câu hỏi về khả năng không ngừng nghỉ của những gì công nghệ này có thể tiếp tục tạo ra. Tuy nhiên, chỉ đến bây giờ với cơ sở dữ liệu mạnh mẽ, sức mạnh máy tính ngày càng tăng và sự chú ý của giới truyền thông, chúng ta mới thấy AI tiếp cận khán giả toàn cầu theo những cách vừa đáng sợ vừa thú vị. Với công nghệ như AI đang rình rập chúng ta, chúng ta rất có thể sẽ thấy các cuộc tấn công sáng tạo và khá tinh vi diễn ra với kết quả tai hại.

Cuộc phiêu lưu nhân bản giọng nói

Trước đây của tôi vai trò trong lực lượng cảnh sát đã truyền cho tôi tư duy cố gắng suy nghĩ như một tội phạm. Cách tiếp cận này có một số lợi ích rất hữu hình nhưng lại bị đánh giá thấp: người ta càng suy nghĩ nhiều và thậm chí hành vi giống như một tội phạm (không thực sự trở thành tội phạm), người ta càng được bảo vệ tốt hơn. Điều này cực kỳ quan trọng trong việc cập nhật các mối đe dọa mới nhất cũng như thấy trước các xu hướng sắp tới.

Vì vậy, để kiểm tra một số khả năng hiện tại của AI, một lần nữa tôi phải sử dụng tư duy của một tên tội phạm kỹ thuật số và tấn công một doanh nghiệp một cách có đạo đức!

Gần đây tôi đã hỏi một người liên hệ của mình – hãy gọi anh ấy là Harry – liệu tôi có thể sao chép giọng nói của anh ấy và sử dụng nó để tấn công công ty của anh ấy không. Harry đồng ý và cho phép tôi bắt đầu thử nghiệm bằng cách tạo bản sao giọng nói của anh ấy bằng phần mềm có sẵn. Thật may mắn cho tôi, việc nắm bắt được giọng nói của Harry tương đối đơn giản – anh ấy thường quay các video ngắn quảng bá doanh nghiệp của mình trên kênh YouTube, vì vậy tôi có thể ghép một vài video này lại với nhau để tạo thành nền tảng thử nghiệm âm thanh tốt. Trong vòng vài phút, tôi đã tạo ra một bản sao giọng nói của Harry, đối với tôi nghe giống hệt giọng của anh ấy, và sau đó tôi có thể viết bất cứ điều gì và phát lại nó bằng giọng của anh ấy.

Để nâng cao tính xác thực, tôi cũng quyết định tăng thêm tính xác thực cho cuộc tấn công bằng cách đánh cắp tài khoản WhatsApp của Harry với sự giúp đỡ của một Cuộc tấn công hoán đổi SIM – một lần nữa, với sự cho phép. Sau đó, tôi đã gửi một tin nhắn thoại từ tài khoản WhatsApp của anh ấy tới giám đốc tài chính của công ty anh ấy – hãy gọi cô ấy là Sally – yêu cầu khoản thanh toán 250 bảng Anh cho “nhà thầu mới”. Vào thời điểm xảy ra vụ tấn công, tôi biết anh ta đang ăn trưa trên một hòn đảo gần đó, điều này đã cho tôi câu chuyện và cơ hội hoàn hảo để tấn công.

Tin nhắn thoại bao gồm thông tin anh ấy đang ở đâu và anh ấy cần "anh chàng sơ đồ tầng" trả tiền, đồng thời nói rằng anh ấy sẽ gửi chi tiết ngân hàng riêng ngay sau đó. Điều này đã bổ sung thêm xác minh từ âm thanh giọng nói của anh ấy trên đầu tin nhắn thoại được thêm vào chuỗi WhatsApp của Sally, đủ để thuyết phục cô ấy rằng yêu cầu này là có thật. Trong vòng 16 phút kể từ tin nhắn đầu tiên, tôi đã nhận được £250 gửi vào tài khoản cá nhân của mình.

Hình 01  

Tôi phải thừa nhận rằng tôi đã bị sốc vì nó đơn giản đến mức nào và nhanh đến mức nào tôi có thể lừa Sally tin rằng giọng nói nhân bản của Harry là thật.

Mức độ thao túng này có hiệu quả nhờ vào một số yếu tố có liên quan hấp dẫn:

  1. số điện thoại của CEO đã xác minh anh ta,
  2. câu chuyện tôi bịa đặt phù hợp với các sự kiện trong ngày, và
  3. tất nhiên, tin nhắn thoại nghe giống như ông chủ.

Trong cuộc phỏng vấn của tôi với công ty và sau khi suy ngẫm, Sally nói rằng cô ấy cảm thấy việc xác minh này “quá đủ” cần thiết để thực hiện yêu cầu. Không cần phải nói, công ty đã bổ sung thêm nhiều biện pháp bảo vệ để bảo vệ tài chính của họ. Và tất nhiên là tôi đã hoàn lại số tiền £250!

Mạo danh doanh nghiệp WhatsApp

Ăn cắp tài khoản WhatsApp của ai đó thông qua một cuộc tấn công hoán đổi SIM có thể là một cách khá dài dòng để khiến một cuộc tấn công trở nên đáng tin cậy hơn, nhưng nó xảy ra phổ biến hơn nhiều so với bạn nghĩ. Tuy nhiên, tội phạm mạng không cần phải mất nhiều công sức như vậy mới đạt được kết quả tương tự.

Ví dụ, gần đây tôi đã trở thành mục tiêu của một cuộc tấn công mà nhìn bề ngoài thì có vẻ đáng tin cậy. Ai đó đã gửi cho tôi một tin nhắn WhatsApp với nội dung là từ một người bạn của tôi, giám đốc điều hành của một công ty CNTT.

Điều thú vị ở đây là mặc dù tôi đã quen với việc xác minh thông tin nhưng thông báo này lại xuất hiện kèm theo tên liên hệ được liên kết thay vì hiển thị dưới dạng số. Điều này được đặc biệt quan tâm vì tôi không lưu số điện thoại đó vào danh sách liên hệ của mình và tôi cho rằng nó vẫn hiển thị dưới dạng số điện thoại di động chứ không phải tên.

Hình 2 – Tài khoản doanh nghiệp WhatsApp giả mạo

Hình 3 – Kinh doanh WhatsApp
Hình 4 – Chi tiết kinh doanh WhatsApp

Rõ ràng cách họ giải quyết vấn đề này chỉ đơn giản là tạo một tài khoản WhatsApp Business, cho phép thêm bất kỳ tên, ảnh và địa chỉ email nào bạn muốn vào tài khoản và khiến tài khoản đó ngay lập tức trông giống thật. Thêm tính năng này vào nhân bản giọng nói AI và thì đấy, chúng ta đã bước vào thế hệ tiếp theo của kỹ thuật xã hội.

May mắn thay, ngay từ đầu tôi đã biết đây là một trò lừa đảo, nhưng nhiều người có thể mắc phải thủ thuật đơn giản này mà cuối cùng có thể dẫn đến việc mất tiền dưới hình thức giao dịch tài chính, thẻ trả trước hoặc các loại thẻ khác như Apple Card, tất cả vốn là những mục yêu thích của bọn trộm mạng.

Với học máy và trí tuệ nhân tạo đang phát triển nhảy vọt và ngày càng trở nên phổ biến với đại chúng gần đây, chúng ta đang chuyển sang thời đại mà công nghệ bắt đầu trợ giúp tội phạm hiệu quả hơn bao giờ hết, bao gồm cả việc cải thiện tất cả các công cụ hiện có giúp làm xáo trộn thông tin mật. danh tính và nơi ở của tội phạm.

Giữ an toàn

Quay trở lại các thử nghiệm của chúng tôi, đây là một số biện pháp phòng ngừa cơ bản mà chủ doanh nghiệp nên thực hiện để tránh trở thành nạn nhân của các cuộc tấn công tận dụng tính năng nhân bản giọng nói và các trò tai quái khác:

  • Không đi đường tắt trong chính sách kinh doanh
  • Xác minh con người và quy trình; ví dụ: kiểm tra kỹ mọi yêu cầu thanh toán với người (được cho là) ​​đưa ra yêu cầu và yêu cầu hai nhân viên ký xác nhận nhiều lần chuyển khoản nhất có thể
  • Luôn cập nhật những xu hướng mới nhất về công nghệ và cập nhật các biện pháp huấn luyện, phòng thủ phù hợp
  • Tiến hành đào tạo nâng cao nhận thức đột xuất cho tất cả nhân viên
  • Sử dụng phần mềm bảo mật nhiều lớp

Dưới đây là một số mẹo để giữ an toàn khỏi việc hoán đổi SIM và các cuộc tấn công khác nhằm mục đích tách bạn khỏi dữ liệu cá nhân hoặc tiền của bạn:

  • Giới hạn thông tin cá nhân bạn chia sẻ trực tuyến; nếu có thể, tránh đăng các chi tiết như địa chỉ hoặc số điện thoại của bạn
  • Giới hạn số người có thể xem bài đăng của bạn hoặc tài liệu khác trên mạng xã hội
  • Cảnh giác với các cuộc tấn công lừa đảo và các nỗ lực khác dụ dỗ bạn cung cấp dữ liệu cá nhân nhạy cảm của mình
  • Nếu nhà cung cấp điện thoại cung cấp biện pháp bảo vệ bổ sung cho tài khoản điện thoại của bạn, chẳng hạn như mã PIN hoặc mật mã, hãy đảm bảo sử dụng nó
  • Sử dụng xác thực hai yếu tố (2FA), cụ thể là ứng dụng xác thực hoặc thiết bị xác thực phần cứng

Thật vậy, không thể đánh giá thấp tầm quan trọng của việc sử dụng 2FA – hãy đảm bảo bật tính năng này trên tài khoản WhatsApp của bạn (nơi nó được gọi là xác minh hai bước) và bất kỳ tài khoản trực tuyến nào khác cung cấp nó.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.