人工智能為騙徒提供了新的工具,由產生deepfake至設定釣魚網站或炸騙電郵活動,神經網絡被用作不法勾當成為了新的趨勢,作為一般用戶必需學會在這個浪潮下保護自己。
劏豬、捉魚和deepfake
騙徒利用AI機器人偽裝真人,尤其在愛情騙局之內,他們捏造身份同時與多名受害者對話,目的是建立堅固的感情關係,需時可能數週甚至數月,由最初輕鬆調情然後逐步深入至「有利可圖的投資機會」,長期個人連繫有助消除受害者的疑慮,直至受害者投入金錢至詐騙項目,騙局才會結束。這種詐騙活動被稱為「劏豬」(pig butchering),過去是由東南亞大型詐騙集團營運,僱用數以千計的人去運作,現在則由人工智能取代。
「捉魚」是騙徒製作假身份或冒充真實人物,神經網絡令它容易得多,現代生成式神經網絡可以準確模仿人的外表、聲音和寫作風格,騙徒只需要收集該人物的公開資料然後把資料交給AI,例如照片、影片、公開的貼文和評論、親屬資料、興趣和年齡等等。如果家庭成員或朋友從新帳號與你聯絡,要求借錢,這可能並非你的親屬或朋友,這種情況下最佳的做法是從另一種途徑聯絡真人,例如直接至電查詢,又或者詢問騙徒一些網上找不到答案的問題,又或者過去的對話。
像真的文字冒充只是其中一個問題,語音和影像deepfake是更大的威脅,較早前就有騙徒在社交媒體上deepfake偽充知名博客和加密貨幣投資者,這些假名人邀請追蹤者到「個人諮詢」、「獨家投資聊天」或承諾現金獎和送出昂貴的禮物。社交媒體其非deepfake出現的地方,它們也會生成用作即時視像或語音通話,在年初就有人曾以為自己正在與女兒對話,以為陷入交通意外而損失15,000美元。
研究人員在暗網上發現製作即時影像和語音的deepfake,價錢根據精細度和長度而定,由語音deepfake 30美元至影片50美元起,在數年前這種服務昂貴的多,每分鐘高達20,000美元,而且無法提供即時生成。現在有視像會議或通訊軟件即時換臉以應對身份驗證,又或者從電話或虛擬攝影機更換頭像。騙徒也提供影片中的嘴唇同步文字,即使是外國語言,語音複製工具能改變口音和語調去配合情緒。然而專家懷疑,很多暗網上的銷售本身也是詐騙,目標是令潛在騙徒付費購買不存在的服務。
防範deepfake
- 不要相信沒有見過面的網上熟人,即使已聊天一段時間感覺已找到知己,如果對方提到加密貨幣、投資或其他計劃需要匯款,就要提高警覺。
- 不要輕易相信社交媒體上看似來自名人或大公司的誘人優惠,經常前往他們的官方帳號核實資訊,遇到需要付費、付稅、郵費或輸入信用卡資料才能獲得現金獎時,立即停止參與。
- 朋友或親屬發生不尋常的要求訊息時,通過其他渠道與他們聯絡,例如電話,安全計,問他們關於最近面對面的談話內容,密友和家人可以事先約定只有雙方知道的暗號,如果分享雙方的位置,可以查看和確定對方的位置。騙徒或AI經常製造緊急的氣氛,訛稱沒時間回答「愚蠢」問題,千萬不要被影響而放棄核實真偽。
- 如果在視像對話中有懷疑,可以要求對方轉頭面向側面或做一些複雜的手部動作,通常deepfake不能在不露出馬腳的情況下滿足要求,另外,如果對方不眨眼或嘴唇動作與面部表情看起來奇怪,也是危險的警號。
- 永不口述或其他方式洩露銀行卡號碼、一次性密碼或其他機密資訊。
自動化來電
有種多方法不用直接對話就能進行詐騙,騙徒使用AI製作假的自動化來電,冒充銀行、電訊商和政府服務,另一邊其實是偽冒支援人員的機器人,由於很多合法的公司使用自動化的語音助手,所以感覺像真,不過真公司永不會來電告訴你帳號被入侵或要求核實碼。如果收到類似的來電,重要是保持冷靜,不要掉入帳號被入侵或金錢被盜的恐懼,應該掛線然後利用公司網站上的官方號碼,致電查詢真正的公司,留意現代騙徒多個人,可能會把你交給其他人,也可能以不同的號碼來電或發送短訊,同樣是冒充銀行僱員、政府部門甚至警察。
易被釣魚攻擊的聊天機器人和AI代理
現時很多人喜歡使用ChatGPT或Gemini這類聊天機器人取代傳統搜索引擎,當中的風險是大型語言模型是以用戶資料訓練,知名的聊天機器人也向用戶推薦釣魚網站,當用戶進行網絡搜尋時,AI代理連線到搜索引擎,而引擎本身也可能含有釣魚連結。在實驗中研究人員成功以假電郵騙過Comet瀏覽器的AI代理,假裝來自Wells Fargo(世界最大型銀行之一)的投資經理,研究人員以新創建的Proton Mail帳號發送電郵,當中包含已活躍數天但未被Google Safe Browsing標示為惡意的真釣魚網頁連結,到達用戶收件箱後,AI代理標示該訊息為「銀行待辨事項」,如果沒有再三查證便進入釣魚連結,便會打開假的登入網頁和要求用戶輸入憑證,甚至協助填寫表格,人工智能變成替釣魚網頁說話,令用戶看不到可疑的發送者電郵地址或本身的釣魚連結,因為立即被熱心的人工智能助手帶到輸入密碼的網頁。
在相同的實驗中,研究人員使用AI為本的網頁開發平台Loveable創建假網站偽充Walmart,他們在Comet訪問網站,很容易便會被釣魚連結或廣告詐騙,在查詢AI購買Apple Watch時,代理分析假網站並找到「特價」商品放入購物車,於瀏覽器中輸入地址和銀行卡資料,就能在沒有確定情況下完成購買程序。如果是真的詐騙網站,受害者不但有金錢損失,還把自己的銀行資料交到騙子手上。很不幸,現時AI代理在網絡上像個新手,容易掉入社交工程陷阱,為避免掉入陷阱,應該認真評估人工智能提供的訊息,限制AI代理權限,以及安裝可靠保安方案攔截惡意網站。
AI生成釣魚網站
設計粗糙的入侵式廣告釣魚網站已經過時,現代騙徒盡全力創建像真的假網站,使用HTTPS協議、顯示用戶協議和cookie警告,而且設計也相當不俗。AI工具令創作這類網站更便宜和更快速,也可以在短訊、電郵、社交媒體或搜尋結果上找到這些網站的連結。
辨別釣魚網站的方法
- 檢查網址、標題和內容的錯別字。
- 查看網站域名存在時間
- 如果網站試圖恐嚇和指責,又或者遊說或催促採取行動,都是危險的訊號。
- 在保安方案上啟動檢查連結功能
- 瀏覽器警告危險連線時,立即離開網站。
- 在網上搜尋網站名稱並對比兩者之間的結果,注意釣魚網頁可能以「廣告」形式出現在搜索引擎的置頂結果。
資料來源:Kaspersky Blog
