网络犯罪的新趋势
网络犯罪分子正在招募专业的声音模仿团队,通过复杂的电话社交工程攻击,针对美国高层加密货币高管。参与者每月可赚取高达2万美元,这种活动被研究人员称为“语音钓鱼”(vishing)活动。
根据GK8与Galaxy合作撰写的一份新报告,威胁行为者已经超越了传统的网络钓鱼邮件,建立起针对加密货币领导者的有组织犯罪企业,采用个性化的语音和视频活动进行攻击。这些攻击利用精心策划的高管数据集、声音模仿和专业基础设施,来利用那些保护保管基础设施和私钥的个人,从而增加了大规模加密货币盗窃的风险。
招聘与攻击策略
在6月,GK8的研究人员在受限的地下论坛上发现了招聘帖子,已建立的威胁行为者正在寻找经验丰富的“呼叫者”,以对美国领先加密货币公司的高级高管进行有针对性的攻击。这些帖子包含了样本目标列表,其中包括五位加密货币高管,包括高级法律官员、工程师、财务主管和首席技术官,所有人最低净资产约为50万美元。
GK8的研究负责人Tanya Bekker在接受Decrypt采访时表示:“我们通过检查信誉、声明、评级、供应商的账户创建日期和论坛声誉来验证这些论坛上威胁行为者的声誉。”
Bekker谈到,驱动这些活动的高管数据集来自于最新的网络攻击。与传统的网络钓鱼邮件不同,Bekker表示现代的“语音钓鱼”活动是“高度针对性和个性化的”,并专注于“高价值的加密货币高管和拥有特权访问权限的专业人士”。
技术与手段
她补充道:“他们使用声音和视频模仿、深度伪造内容,以及基于关于受害者的详细数据集精心定制的前提。”据报道,威胁行为者使用互联网协议语音系统、直接拨入号码和短信功能,冒充银行、加密服务和政府机构。根据报告,论坛帖子显示,经验丰富的操作人员的报酬从每20分钟15美元到每月超过2万美元不等。
Bekker告诉Decrypt:“我们观察到一些操作人员长期工作,建立起像专业诈骗行业一样运作的有组织团体。这是一项生意,威胁行为者非常认真对待他们的工作。”
Bekker表示,攻击者越来越多地在其操作中使用“深度伪造声音和视频”以及“实时人工智能驱动的攻击”。虽然所审查的具体案例集中在美国高管,但她表示,类似的活动在德国、英国和澳大利亚也在进行。
社交工程的威胁
最近的事件表明,加密货币行业面临更广泛的社交工程威胁。朝鲜的操作人员创建了假公司,并在求职面试中使用深度伪造技术渗透加密货币公司,攻击者在2024年仅通过47起事件盗取了13.4亿美元。
Binance的首席安全官Jimmy Su曾告诉Decrypt,他的交易所每天收到来自怀疑是朝鲜攻击者的假简历,这些攻击者在面试中使用“变声器,视频则是深度伪造的”。Su表示,主要的检测方法是攻击者“几乎总是由于翻译和变声技术在通话中工作而拥有缓慢的互联网连接”。
未来的防御策略
GK8的报告记录了威胁行为者如何将重点从大规模网络钓鱼活动转向“质量优于数量”的目标。Bekker警告称,在接下来的12到18个月内,攻击将变得更加复杂,因为“区分虚假与现实将变得越来越困难”,并表示加密组织必须防御“利用人类脆弱性的定制社交工程攻击”。
她建议高管们“假设他们的个人信息已经被泄露”,并确保“高价值交易不应由单一个人确认”。Bekker强调,“社交工程依赖于人为错误”,公司需要“针对声音和视频社交工程策略制定具体的协议和培训”。
她表示:“随着高度个性化的诈骗活动的增加,公司需要接受即使是最值得信赖的内部人员也可能被欺骗。要分开角色和私钥,以确保没有单一人员拥有完全的签署权。”
GK8的报告显示,威胁行为者为呼叫者指定了详细的招聘标准,包括口音偏好、性别选择、语言能力和跨时区的可用性,以匹配特定目标档案并在高峰时段最大化受害者的参与度。
