语音钓鱼

语音钓鱼的定义是什么？

语音钓鱼是指通过欺诈性电话通话或语音消息诱骗受害者提供敏感信息，如登录凭证、信用卡号或银行信息。犯罪分子随后会利用这些信息从事欺诈、身份盗用或资金窃取等犯罪活动。网络钓鱼攻击普遍存在并会造成巨大损失，是 2022 年数据泄露的第二大最常见原因，给受害组织造成了高达 491 万美元的平均泄露损失。

在语音钓鱼诈骗中，攻击者伪装成信誉良好的组织（如受害者的银行、国税局或快递公司）主动给受害者拨打电话。他们可能使用免费电话或利用 IP 语音 (VoIP) 技术伪装成可信赖的组织。

不过，此类攻击不仅限于电话。许多语音钓鱼攻击会先发送一封网络钓鱼邮件，催促收件人拨打某个号码。在电话中，诈骗者使用社交工程手段说服目标提供其个人信息。

网络钓鱼诈骗的目标通常是老年人、新入职员工以及在工作中经常接听外部电话的员工。要抵御网络钓鱼攻击，需要在保持警惕的同时采用可靠的预防措施和强大的邮件安全解决方案。您可以通过本页面详细了解能够保护您的敏感信息免受语音钓鱼攻击的各种预防技术和工具。

语音钓鱼的目的是什么？

语音钓鱼的主要目的是非法获取个人或企业的私有敏感信息。诈骗者想要获取的有价值信息包括以下类型：

• 机密信息，如银行账号和信用卡号
• 个人信息，如社保号或身份证号
• 安全凭证、密码或 PIN

攻击者为何选择语音钓鱼？

攻击者选择语音通信是因为语音通信有两项独特的优势，即能够制造紧迫感并建立信任，从而更容易操纵受害者。诈骗者利用语音电话让受害者措手不及，诱导他们在冲动之下作出决定。通过语音电话，诈骗者还可以与目标建立个人联系、根据受害者行为动态调整其策略并利用情感线索，而这些做法是无法通过常规网络钓鱼邮件轻易实现的。

诈骗者越来越愿意实施语音钓鱼的另一个原因是，随着技术的进步，通过语音行骗变得更简单也更容易得手。VoIP 和伪造来电显示等免费或廉价工具能够将来电号码篡改成可信号码，隐藏攻击者的身份和源头。欺诈者还开始利用复杂软件来克隆个人语音，使欺诈通信更容易让人相信。随着深度伪造技术越来越易于获取，真实语音与合成语音变得难以区分，这大大增加了语音钓鱼攻击的危险性。

语音钓鱼、网络钓鱼和短信钓鱼有何区别？

语音钓鱼、网络钓鱼和短信钓鱼利用的通信方式不同，但其目标是相同的，都是以毫无戒心的个人或企业为目标，控制其账户、进行欺诈或窃取资金。

下面说明了这三种网络钓鱼方式的区别：

• 语音钓鱼：通过电话诱使受害者交出敏感信息
• 网络钓鱼：通过邮件诱使受害者点击链接从而转至虚假网站或下载恶意软件
• 短信钓鱼：通过短信诱使受害者点击恶意链接或访问伪造网站

语音钓鱼邮件是如何躲过检测的？

并非所有语音钓鱼攻击都从电话开始。许多攻击者利用精心设计的邮件伪装成权威实体或可信实体开始行骗。然后，他们会通过电话来说服邮件收件人满足他们的要求。如果语音钓鱼攻击使用网络钓鱼邮件开始，那它是如何规避邮件安全过滤功能的？可能有三种原因：

• 邮件中没有链接：安全系统能够轻松标记包含恶意链接的邮件。但语音钓鱼邮件通常诱使收件人打电话，无需在邮件中包含能够被常规安全工具识别出的链接。邮件内容强调让收件人拨打电话，而不包含网络钓鱼中常见的传统可点击链接或按钮。
• 邮件来自于所谓的“真实发件人”：如果假冒的邮件账户来自于个人邮件地址（如 Gmail 账户），就能绕过基于域的邮件身份验证报告 (DMARC)、发件人策略框架 (SPF) 或域名密钥识别邮件 (DKIM) 等身份验证筛选机制。
• 邮件安全工具失效：如果邮件安全绕过了前两种过滤机制，可能会被基础邮件安全系统归入低风险类别并发送至收件人的收件箱。要缓解这一常见问题，可以采用功能完善的邮件安全软件来专门检测网络钓鱼企图、商业邮件诈骗和勒索软件并实施补救措施。

电话号码与 URL 不同，无法以常规方式进行跟踪并作为感染指标 (IOC) 在网络安全社区公布。缺乏针对电话号码的检测机制，这增加了语音钓鱼活动绕过传统邮件安全检查的可能性。

语音钓鱼示例

随着技术的进步，常见语音钓鱼诈骗不断翻新花样，令人真伪难辨。这些诈骗模仿真实企业和场景，利用人的信任和紧迫心理，对组织造成了严重后果。

以下是常见语音钓鱼攻击的几个示例：

国税局税务诈骗

国税局语音钓鱼诈骗通常是播放一段预先录制的语音消息，声称您的退税有问题，催促您通过提供的电话号码直接联系国税局。这些消息通常采取威胁的语气，警告说如果不打电话，就会对您发出逮捕令。

冒充国税局是犯罪分子在邮件和语音诈骗中的惯用手段。国税局的名号让受害者即刻信任来电者并感到恐慌，迫使他们很快按要求照做而丝毫不怀疑这一要求的真伪。

技术支持攻击

在技术支持语音钓鱼诈骗中，欺诈者冒充技术公司（如 Apple、Microsoft 和 Google）的代表，声称您的在线账户存在可疑活动。他们通常要求您提供邮件地址以向您发送重要软件更新，而这些更新实际上是感染了恶意软件的下载文件。

技术支持诈骗利用受害者可能缺乏技术知识这一点。这些诈骗者采用恐吓手段，声称存在严重的安全威胁或技术问题，让受害者感到恐惧和紧迫。他们可能即刻提供解决方案，实际是借此远程访问受害者计算机。如果获得了访问权限，攻击者就能窃取个人或企业数据、安装恶意软件或损害整个系统。

冒充银行诈骗

冒充银行诈骗是指诈骗者冒充信用卡公司、银行及其他金融机构，以达到未经授权访问您的账户的目的。他们声称您的账户存在异常或可疑活动，打着解决问题的幌子要求您验证账户信息和登录凭证。

如果您直接致电金融机构，对方可能要求您提供机密信息来验证您的身份。不过，合法金融机构绝对不会主动致电来要求您提供密码或安全码。

社保或医保诈骗

老年人常常是犯罪分子的目标，因为他们不太熟悉现代网络钓鱼的手段。在此类诈骗中，犯罪分子伪装成社保或医保机构官员并声称要签发新社保号或讨论相关福利，以此套取敏感账户信息。与邮件和短信相比，老年群体往往更常使用电话通信方式，因此更容易遭受语音钓鱼而不是网络钓鱼或短信钓鱼攻击。

如果您认为自己的一些亲朋好友容易遇到此类诈骗，一定要告诉他们，国税局、社保局或医保机构绝不会主动来电要求提供个人信息或发出威胁。合法政府机构不会通过电话、邮件、短信或社交媒体联系市民来要求市民提供个人或财务信息。

快递诈骗

网络购物盛行已久，许多个人和企业难以跟踪其所购商品，犯罪分子会利用这一漏洞实施诈骗。诈骗者伪装成 Amazon 或 UPS 代表，向客户假称发生了运输问题，并提供联系电话让客户查询这些虚构订单。

当毫无戒心的客户拨出电话时，诈骗者伪装成客服人员接听电话并做好准备套出来电者的个人信息。随着 Amazon 会员日等活动日益盛行，而且网购逐渐成为主流购物方式，消费者一定要注意此类快递诈骗。

贷款和投资诈骗

在遇到任何所谓低风险、高回报的投资机会或者声称放款速度极快的贷款时，务必要极度谨慎。如果条件好得令人难以置信，通常不是真的。

下面提供了防范此类贷款和投资诈骗的重要提示：

• 询问风险和相关成本
• 拒绝强行推销或急迫销售手段
• 坚持索要书面详情，而后自行开展调查
• 不要仅仅因为来电者的名头或可信度而投入资金
• 验证投资和发起人的注册情况
• 不要相信任何声称完全无风险或保证高回报的投资；这些都属于危险信号，因为真正的投资从来都是有风险的

语音克隆语音钓鱼诈骗

语音克隆技术使用人工智能来制作能够以假乱真的音频或视频片段。犯罪分子现在利用此类 AI 工具模仿目标的家属或信任之人的声音。例如，他们会模仿公司首席执行官的语音来要求员工执行大额转账。低级别员工可能会由于以假乱真的语音而认为来电是真的，出于紧迫感和对公司领导的尊重，按照要求照做。

语音克隆技术越来越先进和普及，此类诈骗的风险也随之增加，因此迫切需要采用更可靠的安全协议并提高警惕性，即使来电者的声音非常熟悉也需要保持警惕。

语音钓鱼有哪些信号？

了解语音钓鱼的信号是保护您的身份与资金的关键。下面提供了关于如何识别语音钓鱼诈骗的提示：

• 伪造的电话号码：语音钓鱼欺诈者通常使用伪造的电话号码，这些号码显示为来自可靠的企业或机构，与真实的电话号码略有不同。例如，诈骗者可能使用与合法银行的电话号码极为相似的号码，利用接听者可能注意不到其中的细小差别这一点来行骗。请始终保持警惕，即使来电显示为本地号码或您认识的公司也应小心谨慎。
• 电话中语气急迫：语音钓鱼和网络钓鱼手段通常会制造急迫感或让人感到害怕。对方可能会说账户问题紧急、检测到可疑活动或这是最后警告，促使您匆忙做出反应。请警惕任何要求您迅速行动的来电，尤其是涉及到个人数据或资金时。他们还可能装作与您熟识，隐约提及之前的谈话、关系或公司层级。这些手段会建立亲切感，但诈骗者会逐渐引导受害者做出不利行为。
• 不请自来的敏感数据请求：语音钓鱼攻击的目标是窃取您的敏感信息，如密码、PIN、验证码或财务信息。合法机构绝不会通过不请自来的电话请求提供此类信息。
• 使用已公开的信息：为了让来电看似合法，诈骗者可能会出示似乎属于您个人的信息，但这些信息是他们通过网络来源或社交媒体获得的。不过，知道您的住址、近期交易或家庭情况并不能证明来电者的真实性。 
• 单独验证：如果来电似乎很可疑，即使对方声音很真实，也不要立刻照做，而应挂断电话，在官网或您的通讯录中找到经验证的号码，直接致电相关机构或人员。切勿使用可疑电话中提供的号码。

如果您遭遇语音钓鱼攻击诈骗，应该怎么做？

如果您成为语音钓鱼攻击的受害者，应立即采取补救措施，这有助于减轻潜在危害并避免您的信息遭到进一步利用。您可以采取以下补救措施：

• 将此欺诈活动告知您的金融机构，并请求冻结您的账户或监测账户的异常活动。
• 对每个账户使用唯一的强密码，更改账户的所有受影响密码、PIN 和安全凭证。
• 向诈骗者声称其所代表的相关公司或机构通知此事，因为他们也许能提供额外协助并采取措施来提醒其他人。
• 向联邦贸易委员会 (FTC) 或 FBI 的犯罪分子投诉中心 (IC3) 提交投诉，帮助他们打击此类诈骗。
• 如果您作为员工泄露了敏感公司信息，请立即通知公司 IT 部门或网络安全团队以启动损害控制协议。

只要诈骗者能够成功行骗，语音钓鱼和其他网络犯罪分子就会继续榨取公众钱财。不过，花时间确定语音钓鱼企图并采取应对措施有助于防范语音钓鱼。继续阅读，了解如何防范语音钓鱼攻击。

如何防范语音钓鱼和电话诈骗？

要减少语音钓鱼攻击并减轻此类攻击对组织的潜在影响，请考虑以下最佳实践：

使用多重身份验证 (MFA) 保护账户

MFA 是应用保护安全工具，要求提供两个或以上验证因素才可访问账户，而不是仅提供单一密码。即使犯罪分子在语音钓鱼诈骗中窃取了密码，在 MFA 的防护下，他们也很难绕过其他身份验证屏障。

利用威胁防御增强邮件安全

语音钓鱼攻击者通常使用邮件来开始行骗。为防范语音钓鱼、网络钓鱼和商业邮件诈骗 (BEC) 企图，必须增强邮件安全，使之高于原生安全过滤器提供的安全水平。

全面的邮件威胁防御解决方案能够大大降低语音钓鱼诈骗侵入组织的风险。不妨考虑采用 Cisco Secure Email Threat Defense 解决方案，它能够识别并快速应对网络钓鱼企图，避免此类诈骗对组织造成灾难性的后果。

登记谢绝来电清单

通过登记国家谢绝来电清单，降低受到语音钓鱼攻击的风险。此类清单通常由政府机构维护，能够大大减少来自合法公司的不请自来的电话数量。虽然这不能阻止诈骗者，但有助于更容易地识别可疑来电。

避免接听不请自来的电话

开展员工培训，指导其在处理电话时采用以下最佳实践：

• 避免接听来路不明的电话。如果不确定来电者是否合法，请让来电转入语音邮箱，然后听取来电信息。请注意，来电显示和电话号码可能会被人操纵。
• 一旦您感到与您通话的来电者很可疑，请立即挂断电话并将此号码屏蔽。通过短至 3 秒的语音片段，犯罪分子就能利用 AI 来模仿您说话，随后模仿您的声音来从事欺诈活动。
• 切勿回拨未接来电，尤其是号码不熟悉的来电。应从官方网站、信用卡或记录的对账单等可信来源找到官方电话。
• 请勿应答不请自来的电话中要求您按按键或以“是”或“否”回答问题的语音提示。诈骗者使用这些手段来确定他们联系到一名容易就范的真人，这会导致您接到更多语音钓鱼电话。

警惕语音钓鱼社交工程手段

开展员工培训，指导其警惕以下可能指示语音钓鱼企图的社交工程手段：

• 威胁称如果不迅速按要求照做，就会立即封停账户、采取法律行动或实施逮捕
• 承诺提供丰厚回报、现金奖品或专属优惠，但要求立即做出决定
• 来电者假意友善或声称与您认识，以此降低您的防备心
• 坚持要求保密，阻止您咨询他人或验证来电者是否合法

如果来电者采用这些手段，请礼貌但坚决地挂断电话。请记住，合法公司和机构不会以此方式开展业务。

如果您收到了可能的语音钓鱼邮件或短信，请认真查看以下元素：

• 发件人或来电者的姓名、邮件和电话号码
• 所用语言的样式和急迫性
• 行文中是否存在不一致或错误
• 要求您执行的操作的性质，尤其是要求立即执行的请求

切勿在电话中透露敏感数据

当来电者要求提供账号、PIN、密码或任何其他机密数据时，请务必小心谨慎。如果您感到不安或不对劲，请相信您的直觉；挂断电话，并通过经验证的通信渠道直接咨询所涉机构。

要求提供身份证明

始终以数据安全为重，要求来电者证明自己的身份。信誉良好组织的合法代表愿意提供关于其职位、来电目的及其所代表机构的详细信息。为了增加保障，可以记下他们的姓名，然后使用从对方组织的官网或您自己的记录中直接获得的电话号码来重新联系他们，绕过他们建议使用的任何电话号码。这一步对于确保来电者是合法代表并避免您陷入语音钓鱼陷阱至关重要。

开展员工培训，使之熟悉网络钓鱼预防策略

分配时间和资源来定期开展员工培训，使之熟悉当前语音钓鱼防御策略，这一点非常重要。这些培训课程应促进员工了解网络威胁最新趋势、防御策略以及在遇到网络钓鱼时如何有效应对，确保您的团队能够有效保护组织的敏感数据和资金。