语音钓鱼
本文约需 2 分钟阅读
语音钓鱼 (Vishing) 是利用电话 (Voice) 进行的钓鱼攻击的统称。该词由“Voice”和“Phishing”组合而成,指攻击者在电话中冒充银行职员、警察、技术支持人员等,套取受害者的账户信息、密码、信用卡号等机密信息。与电子邮件或短信不同,通过真人声音进行的直接沟通会施加强烈的心理压力,妨碍冷静判断,因此是一种极易使人上当的攻击手法。
典型手法
他们以“我们检测到您的账户存在可疑交易”制造紧迫感,并以身份验证为名套取密码和一次性密码。他们报出真实的银行名称和支行名称,甚至说出职员编号,以提高可信度。
他们警告称“您的电脑感染了病毒”,并指示受害者安装远程访问工具。通过远程操控显示虚假的错误画面,要求以付费支持合同或礼品卡的方式付款。
他们威胁称“您有未缴税款,若不在今天内缴纳就会被逮捕”。他们利用公共机构的权威和对法律制裁的恐惧,剥夺受害者的冷静判断。在日本,这已成为被称为“退税诈骗”的社会问题。
语音钓鱼攻击的流程
语音合成技术带来的演变
随着生成式技术的快速发展,语音钓鱼迎来了质的转折点。仅凭几秒钟的语音样本就能实时重现特定人物声音的技术已向公众普及。2023 年曾报告一起案例:有人合成 CEO 的声音致电财务人员,诈骗了 24 万美元。深度伪造语音从根本上颠覆了“凭声音就能辨认本人”这一传统语音钓鱼的最大弱点。即使接到以家人或上司声音打来的电话,也不再能保证对方就是本人。
来电号码伪造 (Caller ID Spoofing) 的原理
提高语音钓鱼成功率的一项关键技术就是来电号码伪造。利用 VoIP (Voice over IP) 技术,攻击者可以将来电号码设置为任意号码。攻击者通过显示银行的总机号码或警察局的号码,让看到来电界面的受害者相信“这是来自真实机构的电话”。在日本,总务省自 2024 年起推动引入 STIR/SHAKEN (对来电号码进行电子签名验证) 作为应对来电号码伪造的措施,但要在包括固定电话网在内的范围全面普及仍需时日。电话诈骗防范指南 (Amazon),以便了解最新的手法与防御对策,这是值得推荐的做法。
有效的对策
不要在接到的来电中透露机密信息。先挂断,然后自己拨打官网或存折上记载的正规电话号码。仅凭这一点就能防范大多数语音钓鱼。
在家人之间或组织内部事先约定暗号。即使声音被语音合成伪造,只要对方不知道暗号,就能判断其并非本人。
建立接到可疑电话时的报告流程。营造不让人觉得“丢脸”或“小题大做”的心理安全感,是及早发现并防止损失扩大的关键。
语音钓鱼虽然是社会工程学的经典手法,但因与现代技术融合,其威胁程度再次急剧上升。在与鱼叉式钓鱼相结合的针对性攻击中,还观察到一种多阶段手法:先通过电子邮件建立信任关系,再用电话收尾。也请一并参阅钓鱼防范指南、滥用生成式技术的钓鱼最新动向以及真实的社会工程学案例。
这篇文章对您有帮助吗?