眼見不為憑？　AI詐騙手法大公開

　　在AI高速發展下，相關應用已漸漸滲入每個人的生活，然而，隨之而來的詐騙案例亦不斷增加。一通熟悉的電話、一封商業郵件、一場視訊會議，看似正常，實則可能隱藏未知的AI陷阱，若貿然輕信，個人財富、名節操守、甚至個資，都可能在一夕之間化為烏有。本期「資訊網」列舉最新的AI詐騙手段，提醒您自我保護之道。

---

生成式AI的應用

　　你曾使用過ChatGPT撰寫email或創建圖片嗎？這些原本需要耗費不少時間完成的工作，在生成式AI橫空出世後，變得輕而易舉，然而，不只一般民眾會使用生成式AI，駭客也用它加速攻擊，隨著釣魚郵件發生率逐漸上升，不僅對個人造成威脅，更對企業資安帶來嚴峻的挑戰。

 

傳統釣魚攻擊VS. AI釣魚攻擊

　　以往的釣魚郵件，讀者可能透過不順暢的語句、奇怪的異體字、拼字錯誤或其他破綻即可初步判斷，但在生成式AI的助長下，釣魚郵件的逼真程度大幅提升，不僅語言風格與用詞更真實且精確，內容甚至能根據受害者的個人資料、網路行為量身打造，令人難辨真偽。以用語為例，駭客可先提供英文原稿請ChatGPT潤飾，提升品質，也能先以熟悉的語言向ChatGPT提出需求，待其翻譯出流利的英語版本，再輸出作為釣魚內容。

 

BEC郵件詐騙也能用AI生成？

　　2023年曾介紹過的「BEC郵件詐騙」（Business Email Compromise），又稱「變臉詐騙攻擊」，意指駭客會假冒內部職員、高階主管、供應商或外部合作夥伴等，欺騙員工電匯付款或洩漏機密資料。隨著AI應用範圍越來越廣，BEC詐騙數量也逐漸增加。駭客劫持電子郵件的對話後，只要向ChatGPT餵入郵件內容，就能自然生成相對應的回覆郵件，甚至能模仿原始郵件的語氣與文筆，一般人更難識破。

 

暗黑版ChatGPT

　　你想過ChatGPT也會黑化嗎？駭客將生成式AI撰寫程式的技術，用來修改惡意軟體中的程式碼，創造出攻擊專用的機器人FraudGPT、WormGPT，藉其創建大量社交工程的郵件，讓沒有程式開發背景的人也能輕易製造病毒，擴大惡意軟體的傷害範圍。上列具攻擊性的生成式AI更提供訂閱制服務，用戶只要每月花費USD200，即可發動複雜的釣魚攻擊，大幅降低攻擊的門檻。

 

你聽過AI孫燕姿嗎？

　　當我們聽到熟悉的聲音卻無法確認真偽時，應警覺是否遇上AI仿聲詐騙，尤其近年AI技術使得複製他人聲音變得更加容易，以歌手孫燕姿為例，網友利用她曾演唱過的歌曲作為訓練資料，透過AI模型生成出極為逼真的聲音，包括換氣聲、咬字與尾音等，都相當貼近歌手的詮釋，更令人震驚的是，複製一個人的聲音只需要「3秒」的音檔，因此，駭客得以輕鬆透過問卷調查、竊取、購買等方式，搜集個資及聲音，發動精準攻擊，大家應更小心保護個資與防範詐騙。

 

眼見為憑？沒圖沒真相？

　　自2017年起，深度偽造技術（Deepfake）受到廣泛關注，該詞結合deep learning與fake，係指利用AI深度學習技術合成圖像、影片，甚至聲音。先前在社交平臺流行上傳由App生成自己變老或變性的照片，即是使用Deepfake的技術，除了可以用來自娛娛人，也可能成為駭客行騙的工具。以香港近期發生的新型AI詐騙為例，歹徒採用Deepfake參加視訊會議，並佯裝成總公司多位高層，要求香港分公司的財務職員匯出HKD2億進行秘密交易。在AI盛行的年代，眼見為憑成為過去式，即使看到圖也不一定為真。

 

道高一尺、魔高一丈　該如何自保？

　　面對AI詐騙猖獗，企業絕不能掉以輕心。美國聯邦調查局（FBI）年度報告顯示，2023年美國網路詐騙造成的損失高達USD125億，較前一年增加22%，甚至創下六年以來的新高，同時，使用AI發動網路攻擊的駭客數量也以驚人的速度成長。提醒大家，若收到可疑的信件，謹記「不衝動點選連結及下載未知檔案」、「不隨意提供個人資料及財務資訊」、「對於網域及網名多加留意」等原則，無論是文字、語音或視訊詐騙，建議利用第二管道確認內容的真實性，也可透過僅有雙方知曉的通關密語來驗證該通電話或視訊的真偽，避免受害。

　　此外，駭客也會利用公開的個資及語音數據詐騙，因此民眾應保管好個人敏感資訊、調整社交平臺隱私設定，並盡量避免公開正臉照片；對企業而言，提升資安意識、以多因子驗證強化身份驗證、訂定資料保護機制…等，皆為重要的防護方式。唯有加強警覺、保護好帳號、密碼及個資，才能遠離AI帶來的潛在風險。

 

*圖片來源：Freepik

#