网络犯罪分子利用深度伪造来攻击企业！在员工在WhatsApp通话中识别出假CEO后，LastPass险些避免了安全漏洞。了解LastPass如何提高人们对不断变化的社会工程策略的认识。

密码管理巨头LastPass在一名公司员工成为Deepfake 诈骗目标后，勉强避免了潜在的安全漏洞。 LastPass在一篇博客文章中详细介绍了这一事件，其中涉及冒充首席执行官Karim Toubba的音频Deepfake试图通过WhatsApp联系该员工。

Deepfake技术可以操纵音频和视频来创建逼真的伪造品，越来越多地被网络犯罪分子用于精心设计的社会工程计划中。在这种情况下，诈骗者使用变声程序来模仿Toubba的声音，可能是为了给员工营造一种紧迫感或信任感。

然而，并不是每个人都像LastPass一样幸运。2024年2月，诈骗者利用人工智能生成的带有Deepfake 技术的CFO，骗取一家跨国公司香港分公司的一名员工支付2亿港元（约合2560万美元）。

在2022年8月报道的另一起事件中，诈骗者利用人工智能生成的币安首席通信官帕特里克·希尔曼(Patrick Hillmann)的深度伪造全息图，欺骗用户参加在线会议，并针对币安客户的加密项目。

至于LastPass，该公司赞扬该员工在认识到情况危险信号时表现出的警惕性。WhatsApp的不寻常使用（该平台并不常用于公司内部的官方沟通），再加上冒充企图，促使该员工向LastPass安全部门报告该事件。该公司确认此次攻击并未影响其整体安全态势。

Darktrace威胁分析全球主管Toby Lewis在评论这一问题时强调了生成式人工智能的风险，“当今人工智能的流行代表着新的和额外的风险。但可以说，更大的风险是使用生成式人工智能来制作深度伪造的音频、图像和视频，这些音频、图像和视频可以大规模发布，以操纵和影响选民的思维。“

“虽然人工智能在Deepfake生成中的应用现在已经非常现实，但图像和媒体操纵的风险并不新鲜，“Photoshop”自20世纪90年代以来就作为动词存在。”Toby解释道。“现在的挑战是，人工智能可以用来降低进入的技能门槛，并加快生产速度，达到更高的质量。防御人工智能深度伪造主要是对你看到的材料保持愤世嫉俗的看法，尤其是在网上或通过社交媒体传播的材料，”他建议道。

然而，这种未遂骗局继续表明网络犯罪分子的攻击变得多么复杂。另一方面，LastPass强调了员工意识培训在减轻此类攻击方面的重要性。社会工程策略通常依赖于制造紧迫感或恐慌感，迫使受害者做出仓促的决定。

该事件还凸显了深度造假在企业领域带来的潜在危险。随着技术的不断发展，制造出越来越令人信服的假货，公司将需要投资于强大的安全协议和员工培训，以领先于这些复杂的骗局。

虽然针对企业的深度伪造诈骗仍然相对罕见，但LastPass事件凸显了日益增长的威胁。该公司决定公开这一尝试，对其他组织来说是一个有价值的警示，敦促他们提高认识并采取预防措施。