密碼管理器 LastPass 本周透露，密碼有黑客嘗試使用深度偽造技術(shù) (Deepfake) 對該公司一名員工進(jìn)行釣魚，管理工遭不過這名員工發(fā)現(xiàn)異常后立即報告，員有造隨后 LastPass 安全團(tuán)隊介入，到深度偽點(diǎn)網(wǎng)黑客的造攻詭計并未得逞。

黑客并沒有使用深度偽造技術(shù)生成視頻，幸及現(xiàn)沒而是成問偽造 LastPass 首席執(zhí)行官 Karim Toubba 的聲音，通過 WhatsApp 聯(lián)系這名員工要求執(zhí)行一些不合理的題藍(lán)操作。

這名員工看起來還是密碼比較有經(jīng)驗的，他很快就發(fā)現(xiàn)對方存在社會工程學(xué)嘗試的管理工遭許多特征，因此相信自己應(yīng)該是員有造遭到釣魚了。

LastPass 情報分析師透露，到深度偽點(diǎn)網(wǎng)在此次案例中至少一名員工收到了一系列電話、造攻短信和至少一段語音郵件，幸及現(xiàn)沒在公司內(nèi)部通常有自己的成問協(xié)作工具，而黑客使用 WhatsApp 來添加和聯(lián)系員工也引起了懷疑。

此次釣魚沒有對 LastPass 產(chǎn)生任何影響，為此該公司也在對更多員工進(jìn)行培訓(xùn)，防止還有黑客繼續(xù)通過這種深度偽造 + 社會工程學(xué)攻擊。

這種案例對我們也有警示意義，因為現(xiàn)在深度偽造技術(shù)已經(jīng)可以生成逼真的視頻和聲音，LastPass 稱黑客偽造的聲音可能是截圖 Karim Toubba 在 YouTube 上發(fā)布的演講視頻訓(xùn)練的，以目前的 AI 技術(shù)，只要有一小段你的聲音，那就可以輕松偽造出來幾乎相同的聲音。

所以如果碰到視頻或電話，對方自稱是誰誰誰時一定要提高警惕，尤其是要求執(zhí)行某些操作、轉(zhuǎn)賬的時候。

這種社會工程學(xué)攻擊通常還伴隨著強(qiáng)制緊迫性，即攻擊者故意編造一些事情聲稱事態(tài)緊急需要處理，這樣更容易騙到人。