这听起来可能像科幻小说,但黑客世界正在出现一种新的威胁,目标是人类的声音。
“语音黑客”可以有多种形式,但在大多数情况下,它是攻击者试图复制个人的独特语音。声纹“为了窃取他或她的身份,或者使用隐藏的音频命令来攻击语音控制系统。
相关:黑客隐藏的7个令人惊讶的地方
如果这看起来有些牵强,其实不然。我们已经看到网络安全研究人员演示了其中一些方法概念验证攻击在今年8月的黑帽会议上,这种风险进一步得到重视,在会上,有道德的黑客展示了新的攻击方法的声音“欺骗”而且通过语音命令攻击一个广泛使用的个人数字助理。
大规模数据泄露和密码盗窃的冲击已经产生了影响推销许多公司首先来看生物识别验证作为一种替代密码(或者甚至是完全替换)。但是,即使没有这种刺激,世界也已经在朝着通用访问方法发展,让消费者更容易、更快地激活和控制他们的电子设备,而无需物理地按下按钮或在登录屏幕上输入。原因很简单:“智能”设备的世界一直在变大,无论是家里或办公室的联网恒温器,还是自动驾驶汽车。语音激活更容易使用这些服务,而且聪明的人也正在成为一个新的关键因素技术在家里和工作中。
但是,随着世界转向声控和认证产品,它正在为网络犯罪分子创造一个新的攻击面。
以下是语音黑客在未来几年可能成为一个更大问题的几种方式:
语音ID盗窃
事实证明,这并不难偷一个人的声音。
语音克隆技术现在正变得越来越普遍。我们已经看到了Adobe,百度,琴鸟、CereProc和其他提供不同程度的语音克隆/欺骗功能的软件。尽管这些工具是为合法的商业目的而设计的,但理论上它们可以是合法的也被恶意行为者使用。使用这些工具,基本的想法是通过听一个人的声音的一小段——可能是几分钟,也可能是几分钟哪怕只有几秒钟——基于深度学习或人工智能的技术能够模仿那个人的声音,创造出原来那个人从未真正说过的新对话。在接下来的几年里,我们可以期待看到更多这样的工具在网上以适中的价格出现。
这其中的含义应该是显而易见的。如果攻击者能够“窃取”一个人的声音(很容易从互联网上收集声音样本,或者在目标附近录音),那么犯罪分子就可以使用它登录任何由语音生物识别技术保护的账户——比如银行账户。许多金融机构现在为他们的客户提供声纹验证,如汇丰银行、巴克莱银行、道明银行、富国银行、桑坦德银行等。
相关:如果你使用免费的数字商业工具,你的竞争对手可能会获得你的秘密
智能音箱攻略
任何由语音命令控制的产品或服务也可能被隐藏的语音命令操纵。最近,一些研究人员已经证明这是一次概念验证攻击,他们使用潜意识信息来欺骗几个流行品牌的语音助手——苹果的Siri、谷歌的Assistant、亚马逊的Alexa——让它们做一些本不应该做的事情。
这些潜意识命令可以隐藏在YouTube视频、歌曲或任何类型的音频文件中。这些指令的广播频率超出了人类正常听觉的频率范围,因此我们无法察觉,但它们确实会被智能音箱记录下来。这使得攻击者可以在受害者没有意识到的情况下偷偷向这些设备发送命令。利用这种攻击,犯罪分子可以强迫该设备进行购买、打开网站或访问连接的银行账户。
更进一步说,不难想象这些攻击会变得更加普遍,因为“音频的恶意软件,特别是当一个特定的漏洞被发现在一个流行的品牌智能音箱。在这种情况下,在线视频、音乐和文件共享服务可能会被含有特定潜意识指令的文件感染,这增加了黑客成功的几率。
相关:Facebook工程师跟踪女性用户一位牙医的接待员窃取了病人的身份。以下是如何防止这些事情在你的公司发生。
Deepfake声音
不仅社交媒体网站上“假新闻”的祸害不太可能很快消失,而且情况也可能变得更糟。
"Deepfakes是一种新的基于人工智能的技术,最近获得了一些名声,因为它被用于创造写实色情影片通过使用名人的公众面部和身体图像。现在,通过上面提到的语音克隆工具,这种技术的音频对等物正在成为可能。
虽然普通人不太可能成为深度造假的受害者,但从首席执行官到政治家,杰出人物很可能是。在竞争激烈、利害攸关的大企业世界中,竞争情报公司非常活跃卑劣的行为,黑客而且彻底的破坏这种情况并不罕见,商业竞争对手甚至可以为竞争对手的首席执行官制作虚假“录音”,显示她咆哮或发表煽动性言论,然后将文件发布到网上或泄露给新闻媒体。
这种假录音也有可能以更有针对性和更直接的方式被使用——比如通过组合来电显示欺骗而且没有戒指的电话向重要的投资者和商业伙伴大量发送虚假的语音信息(同样具有煽动性),以使高管看起来不平衡,损害公司声誉。精心制作的黑色行动而且耳语运动这种情况确实经常发生,尤其是当一家前途光明的初创公司威胁到根深蒂固的商业利益时。
相关:你的通讯安全吗?保护你的智能手机免受黑客攻击的3个简单的技巧
的外卖
随着每一项新技术的出现,犯罪领域也会有相应的进步,语音生物识别和语音控制设备也不例外。出于这个原因,企业需要了解如何利用这些服务。语音克隆并不容易防止,因为任何企业都在做有效的工作市场营销它的高管将会出现在公众视野的前沿和中心——从在大型会议上发言到接受电视采访。但是,公司可以采取一些基本的预防措施。例如,不要注册金融机构的声纹签到服务。不要将智能音箱连接到任何重要客户比如银行业。在其他服务中激活语音控制功能时要小心,比如Windows 10 Cortana。定期对公司及其主要高管进行在线审计,以发现任何恶意活动。