2024年05月號 生活情報
眼見不為憑? AI詐騙手法大公開
遠東新世紀 / 簡筠茹
在AI高速發展下,相關應用已漸漸滲入每個人的生活,然而,隨之而來的詐騙案例亦不斷增加。一通熟悉的電話、一封商業郵件、一場視訊會議,看似正常,實則可能隱藏未知的AI陷阱,若貿然輕信,個人財富、名節操守、甚至個資,都可能在一夕之間化為烏有。本期「資訊網」列舉最新的AI詐騙手段,提醒您自我保護之道。
生成式AI的應用
你曾使用過ChatGPT撰寫email或創建圖片嗎?這些原本需要耗費不少時間完成的工作,在生成式AI橫空出世後,變得輕而易舉,然而,不只一般民眾會使用生成式AI,駭客也用它加速攻擊,隨著釣魚郵件發生率逐漸上升,不僅對個人造成威脅,更對企業資安帶來嚴峻的挑戰。
傳統釣魚攻擊VS. AI釣魚攻擊
以往的釣魚郵件,讀者可能透過不順暢的語句、奇怪的異體字、拼字錯誤或其他破綻即可初步判斷,但在生成式AI的助長下,釣魚郵件的逼真程度大幅提升,不僅語言風格與用詞更真實且精確,內容甚至能根據受害者的個人資料、網路行為量身打造,令人難辨真偽。以用語為例,駭客可先提供英文原稿請ChatGPT潤飾,提升品質,也能先以熟悉的語言向ChatGPT提出需求,待其翻譯出流利的英語版本,再輸出作為釣魚內容。
BEC郵件詐騙也能用AI生成?
2023年曾介紹過的「BEC郵件詐騙」(Business Email Compromise),又稱「變臉詐騙攻擊」,意指駭客會假冒內部職員、高階主管、供應商或外部合作夥伴等,欺騙員工電匯付款或洩漏機密資料。隨著AI應用範圍越來越廣,BEC詐騙數量也逐漸增加。駭客劫持電子郵件的對話後,只要向ChatGPT餵入郵件內容,就能自然生成相對應的回覆郵件,甚至能模仿原始郵件的語氣與文筆,一般人更難識破。
暗黑版ChatGPT
你想過ChatGPT也會黑化嗎?駭客將生成式AI撰寫程式的技術,用來修改惡意軟體中的程式碼,創造出攻擊專用的機器人FraudGPT、WormGPT,藉其創建大量社交工程的郵件,讓沒有程式開發背景的人也能輕易製造病毒,擴大惡意軟體的傷害範圍。上列具攻擊性的生成式AI更提供訂閱制服務,用戶只要每月花費USD200,即可發動複雜的釣魚攻擊,大幅降低攻擊的門檻。
你聽過AI孫燕姿嗎?
當我們聽到熟悉的聲音卻無法確認真偽時,應警覺是否遇上AI仿聲詐騙,尤其近年AI技術使得複製他人聲音變得更加容易,以歌手孫燕姿為例,網友利用她曾演唱過的歌曲作為訓練資料,透過AI模型生成出極為逼真的聲音,包括換氣聲、咬字與尾音等,都相當貼近歌手的詮釋,更令人震驚的是,複製一個人的聲音只需要「3秒」的音檔,因此,駭客得以輕鬆透過問卷調查、竊取、購買等方式,搜集個資及聲音,發動精準攻擊,大家應更小心保護個資與防範詐騙。
眼見為憑?沒圖沒真相?
自2017年起,深度偽造技術(Deepfake)受到廣泛關注,該詞結合deep learning與fake,係指利用AI深度學習技術合成圖像、影片,甚至聲音。先前在社交平臺流行上傳由App生成自己變老或變性的照片,即是使用Deepfake的技術,除了可以用來自娛娛人,也可能成為駭客行騙的工具。以香港近期發生的新型AI詐騙為例,歹徒採用Deepfake參加視訊會議,並佯裝成總公司多位高層,要求香港分公司的財務職員匯出HKD2億進行秘密交易。在AI盛行的年代,眼見為憑成為過去式,即使看到圖也不一定為真。
道高一尺、魔高一丈 該如何自保?
面對AI詐騙猖獗,企業絕不能掉以輕心。美國聯邦調查局(FBI)年度報告顯示,2023年美國網路詐騙造成的損失高達USD125億,較前一年增加22%,甚至創下六年以來的新高,同時,使用AI發動網路攻擊的駭客數量也以驚人的速度成長。提醒大家,若收到可疑的信件,謹記「不衝動點選連結及下載未知檔案」、「不隨意提供個人資料及財務資訊」、「對於網域及網名多加留意」等原則,無論是文字、語音或視訊詐騙,建議利用第二管道確認內容的真實性,也可透過僅有雙方知曉的通關密語來驗證該通電話或視訊的真偽,避免受害。
此外,駭客也會利用公開的個資及語音數據詐騙,因此民眾應保管好個人敏感資訊、調整社交平臺隱私設定,並盡量避免公開正臉照片;對企業而言,提升資安意識、以多因子驗證強化身份驗證、訂定資料保護機制…等,皆為重要的防護方式。唯有加強警覺、保護好帳號、密碼及個資,才能遠離AI帶來的潛在風險。
*圖片來源:Freepik
#