金星匯月刊9月號 – 未來人語
李鑒泉(Lierence)是公關及市場行銷公司Market Hubs董事總經理,擁有16年專業經驗,率先引入AI、Web3.0及元宇宙科技協助客戶解決問題。
人工智能與網絡犯罪:釣魚攻擊與深度偽造的威脅評估隨著人工智能(AI)技術的快速發展,網絡攻擊的複雜性和效率顯著增強。黑客利用生成式AI來自動化攻擊,能夠在短時間內對數千目標發動攻擊,規模和精度遠超傳統手段。當前,網絡釣魚和深度偽造(Deepfake)技術已成為網絡詐騙和身份偽造的主要工具。在全球範圍內,包括香港和韓國在內,這些技術的濫用導致了大量的網絡犯罪案件。
網絡攻擊的複雜性與AI應用
隨著AI技術的飛速發展,網絡攻擊的複雜性和精確度不斷提高。傳統的網絡攻擊通常需要黑客花費時間編寫代碼、設計釣魚郵件或偽造網站等。然而,生成式AI技術的出現,讓這些任務可以自動化完成,並且速度更快,效果更具欺騙性。
AI如何自動化網絡攻擊
1. 自動生成釣魚郵件:AI可以自動生成高度個性化的釣魚郵件。這些郵件能模仿受害者熟悉的語氣和風格,從而增加欺騙性。AI還能分析受害者的行為和網絡足跡,定製針對性的攻擊內容。這使得受害者難以辨別真偽,容易上當。
2. 生成深度偽造視頻和音頻:Deepfake技術可以偽造名人的聲音和外貌,生成逼真的視頻和音頻。這些生成內容被用於詐騙、勒索,甚至在一些國際事件中偽造政治人物的講話,擾亂公共輿論。Deepfake技術的應用讓犯罪分子能夠模仿高層管理者或名人,進行身份冒充和詐騙。
3. AI驅動的複雜攻擊模式:AI能夠自動分析受害者的數據,並根據其行為、喜好以及社交圈展開更具針對性的攻擊。通過學習受害者的生活習慣和網絡行為,AI可以精確預測受害者的反應,從而進行多層次的複合攻擊。
韓國N號房2.0與香港深偽騙案
1. 近期,韓國爆發了嚴重的deepfake性犯罪案件,被稱為「N號房2.0」。這些犯罪者利用deepfake技術將無辜女性的照片和影片製作成色情內容,並在Telegram等高匿名性平台上進行傳播。根據韓國政府的數據顯示,2024年僅上半年就通報了297宗deepfake性犯罪案件。
2. 在香港,AI生成的視像通話和音頻欺詐案件有所增加。騙徒利用AI技術生成的假資訊,模仿受害者熟悉的聲音和影像,進行詐騙和身份盜竊。專家呼籲大眾提高警惕,特別是在視像通話中,應關注對方的面部表情、語音與唇形是否同步。
3.
網絡釣魚和深度偽造:威脅分析
根據香港網絡安全事故協調中心(HKCERT)2023年的報告,網絡釣魚案件佔所有網絡安全事故的近一半,總數達到3,752宗,比2022年增加了27%。隨著AI的應用,釣魚攻擊和深偽技術的濫用使得這類攻擊形式變得更加多樣化,且更難以防範。
常見的釣魚攻擊形式
1. 電子郵件釣魚:攻擊者發送看似來自合法來源的電子郵件,通常包含誘導點擊的鏈接,試圖竊取個人或公司敏感信息。
2. 魚叉式釣魚:針對特定個人或群體的攻擊,攻擊者會利用受害者的背景信息來增加可信度,讓受害者容易上當。
3. 鯨魚式釣魚:這類攻擊針對高層管理人員,通常假冒公司內部的重要人物,進行高額的經濟詐騙。
4. 短信釣魚:攻擊者通過短信發送可點擊鏈接,通常偽裝成銀行或其他機構,誘騙受害者提供敏感信息。
5. 語音釣魚:這類攻擊通過語音通話進行,攻擊者假冒技術支持或政府機構,聲稱受害者有緊急問題需要解決,從而進行詐騙。
6. 搜尋引擎釣魚:攻擊者通過操縱搜尋引擎結果,將受害者引導至偽裝成合法網站的釣魚頁面。
7.
AI助長釣魚攻擊
AI技術使得釣魚攻擊的自動化程度大幅提升。AI可以根據受害者的行為和數據,生成高度個性化的釣魚郵件和網站內容,增加受害者上當的可能性。例如,釣魚攻擊者可以利用合法的雲端應用如Microsoft Sway託管虛假頁面,讓虛假內容更加可信,從而導致更多受害者受騙。
深度偽造技術的威脅
AI生成的深度偽造技術愈發成熟,這項技術可以合成逼真的影像和聲音,讓受害者難以分辨真偽。根據報導,香港2024年首季的深度偽造身份詐騙率為亞太地區最高,增幅達220%。這一現象強調了Deepfake技術在詐騙活動中的廣泛應用。
深度偽造詐騙案例
1. 跨國公司CFO詐騙案:今年2月,一名香港跨國公司員工在與「英國總部財務長」的視訊會議中,對方使用Deepfake技術偽裝成其上司,要求轉帳2億港幣至多個本地銀行帳戶。該員工無意中執行了多筆轉帳,最終導致嚴重的財務損失。
2. 英國公司女負責人受騙:5月,一名英國駐香港公司的女負責人收到騙徒的WhatsApp訊息,聲稱自己是公司首席財務官,並要求進行Zoom視像會議。騙徒通過Deepfake技術模仿其上司的外貌和聲音,成功指示員工轉帳接近400萬港元。
如何應對釣魚攻擊和深度偽造詐騙
1. 核實身份:在進行重大決策或交易時,應通過其他渠道確認對方身份。特別是涉及金錢的交易,應格外小心。
2. 避免點擊不明鏈接:無論是電子郵件或短信,都應避免點擊可疑鏈接,並通過官方渠道確認信息的真偽。
3. 注意視訊通話中的異常:在參與視訊會議時,仔細觀察對方的面部表情、唇形和聲音是否同步,並留意背景是否有異常現象。
4. 提高警惕:若收到涉及匯款或其他敏感要求的訊息,應立即通過電話或其他渠道進行核實,避免輕易轉帳。
5. 使用多重驗證:對於重要帳戶和交易,應啟用雙重認證或其他多重驗證措施,以增加安全性。
結論
AI技術的迅速發展帶來了諸多便利,但也使得網絡犯罪手段更加複雜和難以防範。從網絡釣魚到Deepfake詐騙,AI技術正在成為黑客工具箱中的利器。面對這些日益增長的威脅,市民和企業應該加強對網絡安全的認識,並採取適當的防護措施。只有通過提高警惕性和採用先進的安全技術,才能有效應對這些新型網絡犯罪。HKCERT早前舉行的「2024網絡安全宣傳周同樂日」,正是利用日常生活的例子,學習如何防範 AI 詐騙等網絡安全意識,保障防不勝防的AI詐騙。 
