ما دیگه درباره تماسهای رباتیک صحبت نمیکنیم. ما درباره ویشینگ مبتنی بر هوش مصنوعی صحبت میکنیم که میتونه با والدین، رئیس و بانک شما تماس بگیره و دقیقاً مثل شما صحبت کنه.
یه گزارش جدید از CrowdStrike برای سال ۲۰۲۵ نشون داده که “ویشینگ” یا همون فیشینگ صوتی، در سال ۲۰۲۴ به طرز عجیبی ۴۴۲٪ افزایش پیدا کرده! ویشینگ یه نوع حمله سایبری هست که از تماسهای تلفنی یا پیامهای صوتی استفاده میکنه تا کاربران رو وادار کنه اطلاعات حساسشون رو بدهند.
استفانی کارترز، مسئول جهانی مدیریت بحران سایبری در آیبیام، توی یه پست وبلاگی توضیح میده که چطور ویشینگ کار میکنه. او میگه که وقتی سیستمها امنتر میشن، حملهکنندهها تمرکزشون رو روی مردم میذارن.
برخلاف نرمافزارها، آدمها نمیتونن به راحتی پچ یا بهروزرسانی بشن. و اینکه صدای زنگ گوشی رو نادیده بگیری خیلی سختتر از اینه که یه ایمیل مشکوک رو پاک کنی.
این روش داره مؤثر میشه و هوش مصنوعی داره بازی رو برای حملهکنندهها و مدافعها تغییر میده.
چرا ویشینگ با هوش مصنوعی اینقدر مؤثره؟
کارترز آزمایشهای زیادی در زمینه مهندسی اجتماعی انجام داده که توش تیمش به عنوان یک کارمند به مرکز تماس یک شرکت زنگ میزنن. به گفته او، هر بار موفق شدن. این تمرینها برای کمک به سازمانها برای شناسایی و رفع نقاط ضعف طراحی شده.
حملهکنندههای واقعی هم از همین تکنیک برای آسیب زدن استفاده میکنن، دزدیدن دادهها، نصب بدافزار، یا فریب دادن کارمندان برای ارسال پول.
او میگه: اگه به خیلی از نقضهای داده بزرگ نگاه کنی، میبینی که واقعاً یه تماس تلفنی شروعکنندهی این نقض بوده.
وقتی یک کلاهبردار به حساب یک کارمند دسترسی پیدا کنه، میتونه به راحتی در سیستمهای شرکت بدون اینکه کسی متوجه بشه، حرکت کنه.
این خطر بیشتر میشه چون حالا خیلی از کارمندان از گوشیهای شخصی برای کار استفاده میکنن. این دستگاهها معمولاً امنیت کمتری نسبت به سیستمهای شرکتی دارن و به حملهکنندهها راههای بیشتری برای نفوذ میدن.
هوش مصنوعی، کاتالیزور کلاهبرداریهای ویشینگ
ورود ابزارهای هوش مصنوعی داره ویشینگ رو حتی خطرناکتر میکنه. حالا صداهای دیپفیک میتونن صداهای واقعی رو تقریباً بهطور کامل تقلید کنن و به کلاهبردارها این امکان رو میدن که خودشان را به عنوان افراد مورد اعتماد، مثل مدیر، CEO یا حتی یکی از اعضای خانواده جلوه بدن.
سوراج ساتیانارایان، یک محقق امنیتی، به AIM گفت: من شخصاً قابلیتهای صوتی ChatGPT، Gemini و Grok رو تست کردم. همهشون واقعاً به شکل ترسناکی خوبن. با فقط چند ثانیه صدا، این ابزارها میتونن صدای یک نفر رو کپی کنن و یک مکالمه کامل با لحن، لهجه، احساسات و غیره داشته باشن.
او اضافه کرد: این دقیقاً همون چیزی هست که حملهکنندهها ازش سوءاستفاده میکنن. ما دیگه درباره تماسهای رباتی صحبت نمیکنیم. ما درباره صداهای دیپفیک مبتنی بر هوش مصنوعی صحبت میکنیم که میتونن به والدین، رئیس، یا بانک شما زنگ بزنن و دقیقاً مثل شما به نظر برسن.
ساتیانارایان توضیح داد که LLMها خطر کلاهبرداریهای ویشینگ رو به خاطر تواناییشون در فکر کردن یا بداههپردازی افزایش میدن. تواناییشون برای بداههپردازی، پاسخ به سوالات و هدایت مکالمات شبیه به تعامل انسانی هست. وقتی اینها با دادههای صدای دزدیده شده و جزئیات شخصی که به راحتی از شبکههای اجتماعی قابل دسترسی هست ترکیب بشه، یک ابزار ایدهآل برای حملات مهندسی اجتماعی ایجاد میکنه.
این فقط نظری نیست. یک محقق امنیتی از Palo Alto Networks به تازگی هدف یک صدای تولید شده توسط هوش مصنوعی قرار گرفت که شبیه صدای دخترش بود.
طبق پست وبلاگ آیبیام، خود کارترز با یک چتبات مبتنی بر هوش مصنوعی که برای انجام کلاهبرداریهای ویشینگ ساخته شده بود، روبرو شد. او انتظار داشت که چتبات اشتباه کند، اما اینطور نشد. این چتبات به قدری خوب عمل کرد که او نگران شد که ممکنه برنده بشه.
او گفت: وقتی شنیدم که شروع به تماس میکنه، گفتم ‘اوه نه’. این چتبات از صداها و سبکهای مختلف استفاده کرد و مردم رو قانع کرد که اقداماتی واقعی انجام بدن، مثل مراجعه به وبسایتهای خاص یا به اشتراک گذاشتن اطلاعات.
چه کارهایی میشه انجام داد؟
ساتیانارایان به AIM توصیه کرد که افراد باید با نزدیکانشون یک پسعبارت تعیین کنن، چیزی که فقط فرستنده و گیرنده واقعی ازش خبر داشته باشن.
علاوه بر این، او به کاربران توصیه کرد که قبل از اقدام به درخواستهایی که شامل پول، اعتبار یا اطلاعات حساس دیگه هست، هویت رو از طریق کانالهای جایگزین تأیید کنن.
او همچنین اشاره کرد که شرکتها باید کارمندانشون رو آموزش بدن و به سیستم شناسایی تماس اعتماد نکنن. شرکتها میتونن یک قدم جلوتر برن و اعتماد صفر رو در جریانهای ارتباطی خودشون پیادهسازی کنن.
منبع : analyticsindiamag
