眼见不为凭？　AI诈骗手法大公开

　　在AI高速发展下，相关应用已渐渐渗入每个人的生活，然而，随之而来的诈骗案例亦不断增加。一通熟悉的电话、一封商业邮件、一场视讯会议，看似正常，实则可能隐藏未知的AI陷阱，若贸然轻信，个人财富、名节操守、甚至个资，都可能在一夕之间化为乌有。本期「资讯网」列举最新的AI诈骗手段，提醒您自我保护之道。

---

生成式AI的应用

　　你曾使用过ChatGPT撰写email或创建图片吗？这些原本需要耗费不少时间完成的工作，在生成式AI横空出世后，变得轻而易举，然而，不只一般民众会使用生成式AI，骇客也用它加速攻击，随着钓鱼邮件发生率逐渐上升，不仅对个人造成威胁，更对企业资安带来严峻的挑战。

 

传统钓鱼攻击VS. AI钓鱼攻击

　　以往的钓鱼邮件，读者可能透过不顺畅的语句、奇怪的异体字、拼字错误或其他破绽即可初步判断，但在生成式AI的助长下，钓鱼邮件的逼真程度大幅提升，不仅语言风格与用词更真实且精确，内容甚至能根据受害者的个人资料、网路行为量身打造，令人难辨真伪。以用语为例，骇客可先提供英文原稿请ChatGPT润饰，提升品质，也能先以熟悉的语言向ChatGPT提出需求，待其翻译出流利的英语版本，再输出作为钓鱼内容。

 

BEC邮件诈骗也能用AI生成？

　　2023年曾介绍过的「BEC邮件诈骗」（Business Email Compromise），又称「变脸诈骗攻击」，意指骇客会假冒内部职员、高阶主管、供应商或外部合作伙伴等，欺骗员工电匯付款或洩漏机密资料。随着AI应用范围越来越广，BEC诈骗数量也逐渐增加。骇客劫持电子邮件的对话后，只要向ChatGPT餵入邮件内容，就能自然生成相对应的回覆邮件，甚至能模仿原始邮件的语气与文笔，一般人更难识破。

 

暗黑版ChatGPT

　　你想过ChatGPT也会黑化吗？骇客将生成式AI撰写程式的技术，用来修改恶意软体中的程式码，创造出攻击专用的机器人FraudGPT、WormGPT，藉其创建大量社交工程的邮件，让没有程式开发背景的人也能轻易制造病毒，扩大恶意软体的伤害范围。上列具攻击性的生成式AI更提供订阅制服务，用户只要每月花费USD200，即可发动复杂的钓鱼攻击，大幅降低攻击的门槛。

 

你听过AI孙燕姿吗？

　　当我们听到熟悉的声音却无法确认真伪时，应警觉是否遇上AI仿声诈骗，尤其近年AI技术使得复制他人声音变得更加容易，以歌手孙燕姿为例，网友利用她曾演唱过的歌曲作为训练资料，透过AI模型生成出极为逼真的声音，包括换气声、咬字与尾音等，都相当贴近歌手的诠释，更令人震惊的是，复制一个人的声音只需要「3秒」的音档，因此，骇客得以轻松透过问卷调查、窃取、购买等方式，搜集个资及声音，发动精准攻击，大家应更小心保护个资与防范诈骗。

 

眼见为凭？没图没真相？

　　自2017年起，深度伪造技术（Deepfake）受到广泛关注，该词结合deep learning与fake，系指利用AI深度学习技术合成图像、影片，甚至声音。先前在社交平台流行上传由App生成自己变老或变性的照片，即是使用Deepfake的技术，除了可以用来自娱娱人，也可能成为骇客行骗的工具。以香港近期发生的新型AI诈骗为例，歹徒採用Deepfake参加视讯会议，并佯装成总公司多位高层，要求香港分公司的财务职员匯出HKD2亿进行秘密交易。在AI盛行的年代，眼见为凭成为过去式，即使看到图也不一定为真。

 

道高一尺、魔高一丈　该如何自保？

　　面对AI诈骗猖獗，企业绝不能掉以轻心。美国联邦调查局（FBI）年度报告显示，2023年美国网路诈骗造成的损失高达USD125亿，较前一年增加22%，甚至创下六年以来的新高，同时，使用AI发动网路攻击的骇客数量也以惊人的速度成长。提醒大家，若收到可疑的信件，谨记「不冲动点选连结及下载未知档案」、「不随意提供个人资料及财务资讯」、「对于网域及网名多加留意」等原则，无论是文字、语音或视讯诈骗，建议利用第二管道确认内容的真实性，也可透过仅有双方知晓的通关密语来验证该通电话或视讯的真伪，避免受害。

　　此外，骇客也会利用公开的个资及语音数据诈骗，因此民众应保管好个人敏感资讯、调整社交平台隐私设定，并尽量避免公开正脸照片；对企业而言，提升资安意识、以多因子验证强化身份验证、订定资料保护机制…等，皆为重要的防护方式。唯有加强警觉、保护好帐号、密码及个资，才能远离AI带来的潜在风险。

 

*图片来源：Freepik

#