近年來,語音網釣(Vishing)與AI語音偽冒攻擊已成為企業資安的重大威脅,尤其今年國際間此類攻擊案例激增,國內企業需高度警惕。本文彙整多起重大事件,深入分析攻擊手法與防範對策。
山形鐵道遭詐1億日元,語音網釣手法曝光 2025年3月10日,日本山形鐵道公司遭遇一起嚴重的語音網釣詐騙,損失高達1億日元(約2,000萬元)。攻擊者先透過自動語音系統假冒山形銀行來電,聲稱需更新企業網路銀行資訊,隨後轉接至偽冒的真人客服,誘騙會計人員輸入帳密與MFA驗證碼。事後,山形鐵道發現資金已被盜轉,隨即通報銀行與執法機關。
此事件引發關注,因被詐騙的資金包含政府補助經費,且攻擊手法結合了自動語音、釣魚郵件與網站,鎖定企業財務人員。山形銀行緊急暫停企業網銀的即時轉帳服務,並呼籲客戶勿輕信陌生來電。
社交工程攻擊升級:從郵件擴及語音與AI偽冒 近年駭客的社交工程戰術顯著轉變,不再局限於傳統釣魚郵件,而是擴及語音網釣、簡訊釣魚(Smishing)及AI深偽技術。例如:
- 2023年:美國米高梅酒店遭勒索軟體攻擊,起因是駭客假冒員工致電IT支援服務臺,騙取系統存取權限。
- 2024年:香港某跨國公司遭Deepfake詐騙,駭客偽冒財務長召開視訊會議,騙走2億港幣。
- 2025年:新加坡警方破獲一起AI詐騙案,攻擊者偽冒公司高層,透過Zoom會議騙取49.9萬美元。
AI語音偽冒:真假難辨的威脅 AI技術使攻擊者能仿製特定人物聲音,例如偽冒企業高層或親友,大幅提升詐騙成功率。趨勢科技資深經理黃彥穎指出,此類攻擊已從名人擴及企業財務人員,且受害者往往因未公開而難以統計。
防範對策:強化驗證與資安意識
- 雙重審核機制:企業網銀轉帳應採多層審核,避免單一人員操作。
- 驗證來電身分:接到銀行或公司來電時,主動回撥確認。
- 資安訓練:定期演練語音網釣情境,提升員工警覺性。
- 技術防護:採用Deepfake語音偵測工具,如趨勢科技最新解決方案。
結語 語音網釣與AI偽冒攻擊正快速演變,企業需從技術、流程與文化三方面強化防護。山形鐵道事件僅是冰山一角,未來此類攻擊將更頻繁,及早因應才能降低風險。
留言