根據The Hacker News最新報導，網路安全研究人員發現一種結合深度偽造(deepfake)技術的新型複雜網路釣魚攻擊手法。攻擊者首先偽裝成招聘人員，進而克隆企業財務長(CFO)的身份，成功騙取多個組織的敏感資料和資金。這標誌著社交工程攻擊進入全新階段，深度偽造技術已被武器化用於商業詐騙。
 

攻擊手法詳細分析

第一階段：虛假招聘鋪墊

攻擊者首先在LinkedIn等專業社交平台創建看似真實的招聘人員檔案，鎖定科技和金融行業的中高階管理人員。這些假帳號具有以下特徵：

• 使用AI生成但看似真實的個人照片
• 精心設計的工作經歷與知名企業關聯
• 定期發布看似專業的職缺資訊
• 主動聯繫目標對象提供「獨家職缺機會」

第二階段：視訊面談獲取素材

攻擊者會安排Zoom或Teams視訊面談，過程中：

• 使用輕度deepfake技術即時修改面部表情
• 要求應聘者開啟鏡頭進行「面試評估」
• 同時秘密錄製應聘者的視訊影像和聲音
• 特別關注財務部門人員，以獲取專業術語和行為模式

第三階段：CFO身份克隆

獲得足夠素材後，攻擊者會：

• 使用深度學習模型創建可實時交互的CFO數字分身
• 模仿特定說話方式、手勢和專業用語
• 在緊急情況下（如季度末）冒充CFO聯繫財務團隊
• 要求「緊急」匯款或提供敏感財務數據

技術層面剖析

此攻擊鏈採用了多種先進技術組合：

• 使用Stable Diffusion等生成假招聘者照片
• 利用ElevenLabs克隆語音樣本
• 應用GPT-4生成符合上下文的對話內容

2. 即時deepfake技術

• 基於Few-shot learning的快速模型訓練
• 實時面部替換保持自然表情
• 音視訊同步技術消除延遲感

3. 社交工程策略

• 心理學原理設計緊急情境
• 組織架構爬取確定匯報關係
• 時機選擇（財務結算期等）

實際攻擊案例

某歐洲科技公司遭遇的典型攻擊流程：

1. 人力資源主管收到「獵頭」聯繫
2. 進行了3次看似正常的視訊面談
3. 兩週後「CFO」突然要求查看季度稅務文件
4. 第二天要求緊急轉帳48.5萬美元至「新供應商」帳戶
5. 攻擊得逞後所有聯繫方式立即失效

據調查，此類攻擊平均成功率達17%，高於傳統釣魚郵件的4-5%。單筆詐騙金額從5萬至200萬美元不等。