2017 年08 月23日

日新月异的电话诈骗

威胁 隐私

本博客的读者对电话诈骗应该已经不陌生了吧 —— 甚至你可能收到过一两个可疑的来电。不过只要你拒绝接受来自陌生人的”好意”或者交谈中未透露个人信息,所以你就平安无事,对不对?

事实上答案是否定的,不见得如此。不久前,联邦通信委员会(FCC)发布了一份关于异常电话诈骗的警告。诈骗者给受害人打电话,问了一个看似无关紧要的问题:”你能听见我的声音吗?”答案”是的”就是他们需要的全部内容。诈骗者只要将录好的肯定回答重播就可以让受害人订阅付费服务,而这些服务将被列入受害人的电话账单。

未经订阅者同意而在其账单内添加附加服务(比如有关星座或新闻的日常信息),该种类型的诈骗叫做填鸭式诈骗。

我们分析一下该种诈骗类型值得注意的几点细节。这种填鸭式诈骗是如何变成可能呢的?为何执法人员不能做点什么?利用语音录音让某人订阅附加服务是否确实可行?

从技术上讲,由于电话公司允许在订阅者账单中添加第三方服务,使得填鸭式诈骗有机可乘。

这种骗术本身并无新颖之处:早在2008年800Notes.com网站就列出了可疑电话号码,提醒人们留意。在那个时候该种骗术用于骗取组织机构的服务。据上当受骗者描述,诈骗者对录音进行了编辑,营造受害人同意添加付费服务的假象。

官方设法对填鸭式诈骗予以反击;因此在2015年,FCC要求电信巨头Verizon和Sprint向被其强加服务的消费者支付1.58亿美元的索赔金。不过随着现代技术的发展,填鸭式之类的诈骗技术反而可能会持续发展。

声音银行

随着声音认证的不断普及,在不久的将来类似填鸭式诈骗的手段可能会成为银行业的一大问题。比如2016年英国大型银行巴克莱(Barclays)为其所有私人客户引进了声音认证服务。

全球金融公司HSBC同样 让客户感受到了声音认证代替密码的优势。客户需要打电话给银行,证实自己要使用声音密码,并大声说出,”我的声音就是我的密码。”

HSBC声称该系统能够防止不法分子利用客户录音避开声音认证。据称声音生物测定学技术可以生成声纹,从而能够区分出某人讲话时身体和行为上的细微差别。

另外电话诈骗者必须找到让银行客户说出整个密码短语的方法。这看起来似乎是完全不可能的;不过他们可以设法获得客户的讲话内容,然后通过数个电话记录一点一点地挑拣出他们所需要的词语。

无论何时只要有人发明了欺骗人的方法,就会有人寻找避免被骗的方法。比如 Pindrop创建技术在评估远程操作的真实性时,就会将各种因素考虑进去—— 包括定位。比如来自不符合定位的电话就会触发警报系统。银行也会利用该技术进行反欺诈。

另外一个信号是通信渠道的选择——虽然不是一个确切信号。据Pindrop统计,在53%的案例中诈骗者使用了VoIP,但真实客户使用VoIP的比例完全不同,仅有7%的客户用VoIP联系银行。因此对于VoIP来电系统会自动提醒。

诈骗者自然会采取应对措施 —— 比如,模拟低质量的连接,理论上来说增加了系统辨别呼叫者的难度。很显然不久电话诈骗者就会用全新的更强大的工具来扩充他们的装备。

保持沉默

在2016年Adobe MAX 会议上对Project VoCo(全称”音频编辑软件”)进行了演示。

该系统通过对语音片段进行分析,生成了讲话者声音的样本,包括原始录音中不包括的口头语言。据BBC报导,该项发明引发了信息安全专家的注意。VoCo正如之前的图像编辑软件,可能成为妥协者的工具,或者成为避开声音认证系统的方法。

Adobe公司并不是独此一家。2016年谷歌宣布推出自己的逼真语音合成项目,2017年4月一家新成立的加拿大公司Lyrebird宣布推出语音生成技术。只需一分钟的声音录音就可以使系统得到足够的训练,并用被录音者的声音说出随机短语(点击这里可以听到系统合成的美国政治家之间的谈话)。即使是开发者也承认合成声音的技术存在潜在危险,尤其是对活跃于政治舞台的政客来说。

Lyrebird创立者用以下声明解决了其技术的道德问题:”我们希望不久之后所有人都意识到该项技术的存在,意识到复制其他人的声音是可能的。”

如何应对这一切

1.受害人只要在诱导下说出一个词(”是的”)就会受到攻击,这需要彻底的解决方法。FCC建议完全不要回应未知号码的来电。如果某人确实想联系到你,他/她自然会留言。

2. 一定不要泄露个人资料。

3.时刻核实所有意外出现项目的票据和账单。

4.防止电话诈骗的一个个性化方法是将你的联系信息列入国家注册电话号码 名单,如此电话销售员不得不将你的号码排除在他的名单之外。当然这种 方法仅适用于拥有该等注册系统的国家——比如,美国。在欧盟就比较棘手 了:虽然有国家谢绝来电名单,但是并不是全部欧洲国家都可以注册。