黑客利用 AI 生成音频假冒税务准备人员，欺骗国税局

今年的报税季，人工智能（AI）为一系列税务诈骗活动提供了强大助力，诈骗者利用深度伪造音频和其他技术手段拦截资金，并诱骗纳税人向他们发送财务文件。

网络犯罪分子一直以来都会利用报税季的前四个月进行诈骗，但多位网络安全专家最近指出，这些诈骗手段中出现了一个令人担忧的新变化：利用人工智能（AI）进行语音网络钓鱼攻击。

黑客利用AI生成的音频伪装成纳税人的税务准备人员、会计师或国税局工作人员，利用之前窃取的个人信息来增加诈骗的可信度。

Bugcrowd创始人Casey Ellis表示，生成式人工智能和深度伪造技术是“诈骗者的改变游戏规则的技术”。他说：“这些技术使攻击者能够扩大其运营规模，同时增加诈骗的可信度。例如，一个‘税务顾问’的深度伪造视频可以被用来诱骗受害者分享敏感信息，或者AI生成的电子邮件可以以惊人的准确性模仿国税局的官方沟通风格。”

他还表示，他们已经看到AI驱动的攻击急剧增加，这些攻击帮助网络犯罪分子制造“极具说服力的网络钓鱼电子邮件、语音电话甚至视频信息”。

Deepwatch首席信息安全官Chad Cragle和其他一些人也分别证实，今年报税季AI驱动的攻击有所增加，尤其是那些具有说服力的网络钓鱼电子邮件和深度伪造音频，这些音频被设计用来假冒值得信赖的税务官员。

Cragle补充说，攻击者正在复制声音以通过电话欺骗受害者，并主动提出帮助受害者创建国税局在线账户，诱使他们交出敏感的财务信息。

Keeper Security副总裁Patrick Tiquet指出，网络犯罪分子现在可以创建国税局工作人员、税务专业人士甚至家庭成员的逼真视频和音频模仿，诱骗个人透露像社保号码或税务凭证这样的信息。

Tiquet和Ellis表示，人们应该留意不一致之处，因为AI通常在细节方面存在困难。人们还应在交出信息之前验证身份，并拒绝任何听起来紧急的要求，无论是通过电话还是电子邮件。Ellis还补充说，一些反向图像和视频搜索工具也可以通知你内容是否是人工生成或被篡改过的。

短信诈骗、域名抢注和特朗普退税

除了AI语音诈骗外，防御者还继续看到一些经过改良的经典报税季网络盗窃手段。

Zimperium的Kern Smith表示，他看到移动优先攻击有所增加，攻击者伪装成国税局或税务服务机构发送短信，敦促收件人点击恶意链接或下载虚假应用程序。

Smith表示，这些诈骗活动旨在窃取登录凭证、社保号码和其他敏感财务信息。

专家们还强调了各种钓鱼网站和假冒平台，这些平台利用人们搜索“特朗普退税”等术语，或者寻找像H&R Block这样的知名税务公司。

Cragle表示，假冒网站利用搜索引擎优化（SEO）中毒技术，篡改搜索引擎排名，使其看起来合法并吸引受害者，而Ellis补充说，网络犯罪分子还在利用税务软件或第三方集成中的未修补漏洞。

微软上周发布了一篇长篇博客，强调了最近通过电子邮件传播恶意软件的钓鱼活动，这些电子邮件的主题行写着“通知：国税局发现您的纳税申报存在问题”或“重要行动要求：国税局审计”。

许多电子邮件都带有国税局相关文件名的PDF附件，目标是客户以及注册会计师和会计师。

微软表示：“2025年2月12日至28日，以税务为主题的钓鱼电子邮件被发送到超过2300个组织，这些组织大多位于美国的工程、信息技术和咨询行业，这些电子邮件虽然正文为空，但带有链接到恶意软件的PDF附件，附件中包含二维码。”

---

消息来源：therecord.media；

本文由 HackerNews.cc 翻译整理，封面来源于网络