企業須正視語音詐騙的資安危機

談到企業面臨的網路詐騙威脅，熟悉資安的人會先想到的攻擊型態，是透過電子郵件與網址進行的各種網路釣魚行為（Phishing），後續衍生出商業郵件詐騙（BEC），財務人員與高層主管是攻擊者假冒的對象，也可能是被欺騙的目標，近年來，隨著AI技術突飛猛進與普及，雖然帶來生產力提升，然而，仿造與假冒人員影像與聲音的技術門檻與成本，也大幅降低，使得深偽（Deepfake）的資安風險受到重視。

我們持續追蹤AI資安風險的同時，也注意到語音網路釣魚（Vishing）攻擊日益顯著。近期最常被引用的數據，來自資安廠商CrowdStrike，他們2月底發布的年度全球威脅報告指出，去年有多個攻擊者將Vishing納進侵入目標的手段，月複合成長率達到40％，而且在下半年暴增442％（對比2024上半），並認為攻擊者採用AI驅動的網路釣魚與身分冒用等策略，是助長這類資安威脅的主因。

對於熟悉資安領域的人而言，網路釣魚堪稱大家最熟悉的社交工程攻擊伎倆的總稱，因為它瞄準的正是人性的弱點，而相較於過去大幅仰賴電子郵件傳遞誘餌的攻擊手法，Vishing的採用往往能夠進一步提升、甚至直接施加各種言語話術的說服力。

以CrowdStrike這份報告列出的狀況而言，Vishing被用於服務臺類型的社交工程（Help Desk Social Engineering），例如，攻擊者會撥打電話給使用者，假冒IT人員並以解決上網或資安問題為藉口，誘騙使用者下載惡意軟體、建立遠端支援連線，或將身分憑證輸入網路釣魚網頁；或是相反地，攻擊者撥打電話給鎖定的企業IT服務人員，假冒合法員工並聲稱自己存取電腦或系統有問題，要求IT人員重設密碼，以及多因素身分驗證。

既然視訊和語音詐騙與人性弱點密切相關，恰巧讓我想到科幻電影遺落戰境（Oblivion）的情節，攻擊地球的外星人憑藉攔截到的任務指揮官通訊片段畫面和語音，矇騙與操弄主角。而這樣的劇情與人物設定，恰巧呼應BEC與Vishing成功詐騙企業員工的關鍵：攻擊者偽裝組織高層。例如，在注重權威與階層管理的企業與組織，當員工透過電子郵件、電話、視訊會議等形式，接到高層的指示與命令時，第一個念頭大多是認真思考如何回覆，以及後續該如何達成工作要求，而非先去確認對方的身分真實性。

而在IT服務型的社交工程攻擊當中，使用者與服務者之間，其實也存在某種關係張力，對於使用者而言，擔心犯錯、自己IT技能不足、沒妥善保管與使用IT系統及設備，增添IT部門與企業的麻煩，而對於服務者而言，往往也抱持著用戶至上的工作理念，都會盡可能協助使用者，希望盡快恢復所要使用的IT系統及設備，在實體、彼此能碰面接觸的環境中，這些心態相當正常，但如果需透過遠端溝通的方式進行這些工作，就必須增添確認身分的程序，再進一步授權給對方執行相關作業程序。

在金融業的消費者客戶服務當中，我們可以看到有些情境會特別提出不同的身分驗證需求。例如，我們想確認帳單或保單是否已繳費，可透過電話客服查詢，過程中會核對用戶的基本資料，但如果是修改帳單或保單的寄送地址，有些公司會要求用戶親自到他們的分支據點，在查驗身分證之後，接著以填寫紙本表格的方式進行變更。

另一個語音釣魚挑戰的人際往來弱點，是人們對於語音溝通品質的要求並不高。科技雖然不斷進步，然而，人們透過電話或視訊會議呈現的語音品質，至今仍無法完全比擬實體面對面交談，大家早就習慣經由這些通訊系統所傳達的聲音，品質不如真實說話，因此，對於聲音失真的各種狀況，像是抖動、延遲、不流暢，都有心理準備，因此，攻擊者即使用很含糊、類似的語音，搭配一些迫使接話方必須馬上做決定的急切情境，接話方很可能就會因為無暇判斷真偽而妥協，誤以為發話方是公司同事、主管、親友，配合發話方的指示行動，結果中計。

想避免遭到語音詐騙的操弄，關鍵在於近期資安領域持續提倡的零信任。落實「Never Trust, Always Verify（永不信任，一律驗證）」，會是關鍵，在兼顧安全性的前提之下，能確認對方就是自己認知到的主管、同事、客戶、使用者、合作夥伴，不影響工作與生活效率，這部分有待大家一起努力。