攻击与威胁
语音钓鱼 (Vishing)
别称: 电话钓鱼
定义
通过电话或 VoIP 等语音通道实施的钓鱼攻击,用以骗取凭据、支付或远程访问权限。
语音钓鱼通过真人通话、自动语音、语音留言以及越来越普遍的 AI 克隆语音,冒充银行、政府机构、IT 支持人员或高管。攻击者常结合主叫号码伪造与事先侦察,以增强可信度。常见目标包括套取多因素验证码、诱导受害者安装远程控制软件、授权欺诈性交易,或让 IT 服务台重置密码。防御措施包括严格的服务台核验流程(回拨已知号码、使用知识或硬件令牌验证)、来电过滤工具、终端用户安全意识培训,以及用抗钓鱼因素取代基于 SMS 或电话的身份验证。
示例
- 自称银行反欺诈部门的来电索要一次性验证码,声称用于"取消可疑交易"。
- 攻击者用克隆的高管语音指示财务部门紧急对外汇款。