網路資安威脅
深偽 (Deepfake) 詐騙了銀行 2,500 萬美元,接下來呢?
一名香港金融界人士被一通深偽視訊電話所騙。未來,要防範像這樣的深偽詐騙,不僅在技術和人員方面都一樣挑戰。
事件經過
上週末,一家香港公司出面宣稱遭歹徒使用深偽技術詐騙了 2,500 萬美元,歹徒透過視訊電話假冒成該公司的財務長。
這樁 AI 造成的事件,看起來更像是科幻電影情節而非真實世界場景,然而這不再只是理論,而是真實的案例。若這事件屬實,那它將是一個考驗我們應付新一代社交工程伎倆與詐騙能力的轉捩點。
這類新式攻擊的潛力並非完全令人意想不到,趨勢科技早在去年 11 月的 AWS re:Invent 大會上就詳細介紹過一個類似的攻擊情境,並且建議全球企業領導人應針對深偽技術的快速進展預先做好準備,同時調整內部流程和政策來因應。
為何深偽詐騙正在崛起?
採用 AI 技術的詐騙讓現有的攻擊手法與技巧變得更加有效,隨著深偽技術和工具因為開放原始碼軟體 (如生成對抗網路,簡稱 GAN) 以及 SaaS 數位分身製作應用程式變得非常容易取得,這種攻擊型態未來將無可避免。
AI 工具 (如 HeyGen) 讓任何人都能輕鬆製作深偽影片,它可使用演講者的真實影片來訓練 AI 模型,然後依據腳本產生一段深偽影片,而且只需幾分鐘就能完成。其結果不僅令人訝異,而且將帶來長遠的影響,因為這很容易被人用來在社群網路上散播假訊息。
由於今日這類工具大多需要 30 秒的時間來產生一段包含幾句話的影片,所以在香港的案例當中,駭客不太可能進行即時的視訊通話。不過我們預測這項技術很快就能實現即時運作能力,而近期的一些報導也指出,文字轉影片將是一項比我們預期更早到來的技術。儘管這次事件仍在調查以便徹底了解其影片是如何製作和運作,不過歹徒很可能是預先產生了一整套打算在視訊通話過程當中即時播放的影片內容。
AI 驅動攻擊的演進
AI 正在對三種網路犯罪類型帶來影響:社交工程與詐騙、GPT 破解服務,以及挾持與模型下毒。在這三種類型當中,詐騙的發展速度最快。
此次事件讓變臉詐騙 (BEC) 技巧晉升到一個新的境界,AI 正使得變臉詐騙和網路釣魚越來越幾可亂真、效果越來越好,因此企業迫切需要確保自己的匯款流程能夠防範得了這類詐騙。在此次新聞事件當中,員工表示是透過即時的視訊電話取得授權,所以才放心地執行匯款而未進一步查證。
企業如何做好更周全的準備
要防範深偽攻擊,不僅在技術上有難度,在人員方面同樣也是一項挑戰。所以,需要人員、流程與技術同步調整,才能確保金融交易、資料傳輸及合約簽署都能安全無虞,免於這項新興的威脅。
強化流程、合作及意識
儘管此案件的調查工作仍在進行,但對企業來說卻是一記醒鐘,提醒企業應仔細檢討並強化自身的匯款驗證流程。網路資安與風險管控領導人應該思考以下幾項流程方面的問題:
- 是否有清楚明確的驗證流程,不論誰來要求匯款都一體適用?
- 驗證步驟當中是否包含當前正在與潛在駭客互動的管道之外的嚴格認證程序?(換句話說就是:不能相信電子郵件指示當中提供的電話號碼,也不能相信請求匯款者所提供的視訊電話邀請)。
- 是否有一份預先設定的安全聯絡人名單與聯絡資訊?
- 是否有預先設定好且雙方共同理解的言語 (例如某個詞彙或某句話) 以及流程來驗證交易?
- 人員是否可以質疑看似來自執行長的匯款請求? 是否有針對語音或視訊匯款指示的驗證流程?
根據資安險公司 Coalition 的 2023 上半年「資安理賠報告」(Cyber Claims Report),轉帳詐騙理賠案件的數量比勒索病毒事件多出 63%。資安團隊必須與財務部門同仁攜手合作,才能讓當前及未來的詐騙伎倆無法得逞。
防禦技術最佳實務原則與 AI 驅動的防護所扮演的角色
從防禦的角度來看,資安團隊現在有了一個新的機會可以落實零信任 (Zero Trust) 框架,重新思考社交工程技巧與身分導向的攻擊,並善用 AI 驅動的偵測技術。
- 實施零信任:管制存取,採取「絕不信任、持續驗證」的原則,確保唯有必要的人員能夠存取機敏資訊或流程,並使用條件式或動態風險評估規則。
- AI 驅動的防護:監控內部流量、投資一套身分威脅偵測、導入現代化電子郵件防禦工具 (例如經由 API 來整合至電子郵件系統內、運用 AI/ML 與電腦視覺來分析寫作風格、意圖,以及假冒的登入頁面),這些全都是提升變臉詐騙與網路釣魚對抗能力的必要進階功能,因為這類郵件經常是駭客發動大規模精密攻擊的第一步。