个人隐私最大安全威胁:AI语音
GoUpSec点评:如今,犯罪分子只需获取少量语音样本就能克隆你的语音,配合大量图片、视频和文本素材(例如微信聊天记录),甚至能“帮”你制作一个“数字永生”阿凡达,不但可用于网络欺诈等犯罪活动,还有可能把你“永远钉在互联网的耻辱柱上”。
>>请将本文转发给所有你关心和重视的人<<
当足可以假乱真的孙燕姿AI合成语音歌曲刷爆朋友圈时,你可能还未意识到,一场空前严峻的针对个人隐私的网络犯罪威胁已经按响了每个家庭的门铃。
根据McAfee的最新报告,随着生成式人工智能技术的狂飙猛进,在线语音诈骗激增,犯罪分子如今只需要数秒钟声音素材就能合成受害者的语音,这意味着人工智能合成语音的电话钓鱼(Vishing)等社会工程攻击将快速泛滥。
McAfee对来自七个国家的7054人进行了调查,发现已经有四分之一的成年人经历过某种形式的AI语音诈骗(个人10%,朋友15%),10%的受害者表示因此赔了钱。
AI语音克隆技术已经发展到何种程度?如何用于网络犯罪?McAfee Labs的安全研究人员对此进行了深入研究,重要结论如下:
多数成年人无法分辨人工智能克隆语音
每个人的声音都是独一无二的,相当于生物识别指纹,这就是为什么“电话确认”是一种广泛接受的身份验证和授信方式。(编者:例如办理电话银行业务或高管给财务人员下达指令)
调查显示,53%的成年人每周至少在网上分享一次他们的语音数据(通过社交媒体、语音笔记等),49%的人每周最多分享10次,克隆目标对象的声音现在是网络犯罪分子武器库中最强大的工具之一。
随着人工智能工具的普及和快速发展,犯罪分子非法采集、篡改、操纵朋友和家人的图像、视频和语音比以往任何时候都更容易。
McAfee的研究表明,越来越多的诈骗者开始使用AI技术克隆声音,然后发送虚假语音邮件或呼叫受害者的通讯录联系人,假装处于困境诈骗钱财或窃取隐私信息。更糟糕的是,70%的受访成年人表示自己很难区分克隆语音和真人语音。
45%的受访者表示,他们会回复冒充其亲友的诈骗电话或语音邮件,特别是当这些“语音”来自他们的伴侣或配偶(40%)、父母(31%)或孩子(20%)时。
人工智能语音诈骗受害者损失惨重
调查显示,50岁以上的父母最有可能(41%)对孩子的“语音求救”做出反应。最容易得手的语音内容包括:声称自己发生车祸(48%)、被抢劫(47%)、丢失手机或钱包(43%)或在出国旅行时需要帮助(41%)的信息。
人工智能语音诈骗往往会给受害者带来高额损失。超过三分之一的受害者花费了超过1000美元,7%的受害者被骗了5000美元至1.5万美元。
调查还发现,深度伪造和虚假信息的兴起导致人们对网上看到的内容更加警惕,32%的成年人表示他们现在比以往任何时候都更不信任社交媒体。
三秒钟素材就能克隆语音
McAfee研究人员花了三周时间调查人工智能语音克隆工具的可访问性、易用性和有效性,在互联网上共计发现了十几种免费的语音克隆工具。
许多工具只需要基本的经验和专业知识即可使用。其中一种工具甚至只需三秒钟语音素材就足以产生85%匹配度的克隆语音,而更长的素材和训练时间则可以进一步提高准确性。
在一次测试中,通过训练数据模型,McAfee研究人员仅用少量音频文件就实现了95%的语音匹配度。
克隆语音越准确(匹配度越高),网络犯罪分子诈骗得手的几率就越高,利用人类亲密关系中固有的情感脆弱性,骗子可以在短短几个小时内骗取数千美元。
“全球化”克隆已无死角
“先进的人工智能工具正在改变网络犯罪分子的游戏规则。现在,他们几乎不费吹灰之力,就可以克隆一个人的声音,欺骗亲密接触者汇款,”McAfee首席技术官Steve Grobman指出:“重要的是保持警惕并采取积极措施确保您和您的亲人的安全。如果您接到配偶或家庭成员的电话并要求钱财,请验证来电者——使用先前商定的暗语,或问一个只有他们知道的问题。使用必要的身份和隐私保护服务将有助于限制个人信息的数字足迹。”
McAfee的研究人员还发现,最新的语音克隆工具基本已经能够“全球通吃”,无论目标来自美国、英国、印度还是澳大利亚,都可以毫不费力地复制来自世界各地的口音。
但研究人员也发现,越独特的声音克隆难度越大。
例如,以不寻常的语速、节奏或风格说话的人的声音需要大量训练才能准确克隆,因此不太可能成为优先目标。
研究人员指出,人工智能已经改变了网络犯罪分子的游戏规则。基于语音克隆的网络诈骗的进入门槛从未如此之低,这意味着实施网络犯罪从未如此简单。
如何防范AI语音克隆(攻击)?
- 减少语音暴露面。例如微信群聊尽量不用语音,这一条也适用于其他“数字痕迹”。
- 制订语音暗号。与孩子、家人或密友设置一个只有他们才知道的口头“暗号”。制定一个巩固暗号记忆的计划,要求他们在打电话、发短信或发电子邮件(寻求帮助时)提供暗号,这一点对于老年人来说尤其重要。
- 始终质疑来源。如果是来自未知发件人的电话、短信或电子邮件,或者,即便是来自熟人的电话,请接到求救电话后冷静思考:这听起来真的像他们吗?他们会问你这个吗?挂断电话并直接致电此人,或者在回复之前(当然是在汇款之前)尝试其他可信渠道验证信息。
- 在点击和分享微信链接(包括短信和其他社交媒体)之前三思。谁在你的社交媒体网络中?你真的了解并信任他们吗?你的人脉范围越广,分享的内容越多,您被恶意克隆身份的风险就越大(同时也可能成为泄露他人隐私的帮凶)。
- 可考虑使用身份监控服务,在个人隐私信息流入暗网时发送通知,以避免被网络犯罪分子冒充(而不自知)。