一些安全專家表示,人工智慧(AI)促成的深偽技術(deepfake technology)正在迅速發展,網路犯罪份子找到他們可以使用的商業模式,只是時間早晚的問題。
文/Grant Gross·譯/羅耀宗
一些安全專家說,令名人聞之色變、政治人物驚恐不已的深偽技術,即將在企業界崛起,因為網路犯罪份子視之為輕鬆賺錢的新方式。資深的網路安全和資訊科技(IT)顧問 Michael Hasse 表示,資訊長(CIO)、資訊安全長(CISO)和其他的企業領導人需要做好準備,迎戰 AI 輔助的攻擊。這種攻擊使用真實但偽造的語音通話、影片剪輯和即時視訊會議通話。
利用語音通話的深偽並不是什麼新鮮事。 Hasse 回憶起 2015 年,在資產管理業的一些公司受害於語音詐騙後,曾經向該行業針對這個主題發表演說。然而,他指出,自 2015 年以來,用於深偽的 AI 基礎技術,不只有了巨大的進步,更廣泛隨取可得。Hasse 說,阻礙網路犯罪份子擴大運用深偽的主要因素,是缺乏易於使用的套裝工具,創建偽造的音訊和視訊。
[ 熱門精選:得安全 AI 系統者 得天下 ]
但 Hasse 預測,這種深偽套裝工具很快就會推出,11 月美國大選之前可能開始在地下犯罪份子中散播,政治競選活動會最先成為目標。Hasse 表示,他們需要的每一件東西都在那裡。我們還沒看到它排山倒海,淹沒一切,唯一的原因是壞人需要時間來整合這些東西。
深偽造成信用風險
不只網路安全專家警告深偽對企業帶來風險。日前,信用評等公司穆迪(Moody’s)發出警告,稱深偽製造了新的信用風險。穆迪的報告詳細列舉過去兩年,針對金融業的一些深偽詐欺未遂案件,包括偽造視訊通話。
報告指出:「深偽詐欺造成的財務損失,正迅速成為這種先進技術的顯著威脅。深偽技術可用於製作銀行職員、公司高階主管,或政府官員的詐騙影片,以引導金融交易或實現支付詐欺。」
網路安全研究與顧問公司 IANS Research 的教員 Jake Williams 表示,深偽詐騙已經發生,但問題的規模很難估計。他說,某些情況下,詐騙行為沒有被舉報,因為受害者要保護顏面,其他情況下,其他種類詐騙的受害者,可能拿深偽作為掩飾他們行為的方便藉口。
[ 熱門精選:如何安全地將公司資料送進生成式 AI? ]
在此同時,應對深偽的任何技術防禦都會很麻煩 ─ 不妨想像一下,用深偽偵測工具監聽員工撥打的每一通電話 ─ 而且隨著 AI 技術迅速發展,它們的有效期可能相當有限。
曾經在美國國家安全局(US National Security Agency)當過駭客的 Williams 說:「這很難衡量,因為我們沒有有效的偵測工具,以後也不會有。我們將很難持續追蹤。」
Williams 補充說,雖然一些駭客可能還沒有取得高品質的深偽技術,但在低頻寬的視訊通話中,偽造聲音或影像已經易如反掌。除非你的 Zoom 會議影片品質是高解晰度或更高,否則換臉可能足以騙過大多數人。
你不是我的行政助理
多重身分驗證供應商 Token 的董事長 Kevin Surace 可以提供第一手的聲音基礎深偽潛力證據。他最近收到 Token 一位投資人的行政助理寄來的電子郵件,但他立即認出那封電子郵件明顯是網路釣魚詐騙。
Surace 說,他打電話給那位行政助理,警告有人利用她的帳戶發送網路釣魚電子郵件,而電話另一頭的聲音,聽起來和那位員工一模一樣。當電話另一頭的聲音在談話過程開始表現奇怪的反應,他問了她同事的事情,那個聲音卻不認識他們的名字。
後來發現,網路釣魚電子郵件留下的電話號碼,和行政助理的真實號碼只差一位數。在 Surace 發現問題幾個小時後,假電話號碼就停止運作。
Surace 說,想要偽造聲音的犯罪份子,現在只需要錄音幾秒鐘,而且製作逼真的即時視訊深偽技術愈來愈好。Surace 因為 1990 年代在通用魔法公司(General Magic)推出語音辨識基礎個人助理 Portico 服務,人稱虛擬助手之父。
他指出:「人們會說,『哦,這不可能發生。』現在已經發生在一些人身上,如果發生在三個人身上,就會發生在 300 人、3,000 人身上,然後擴增到更多人。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
到目前為止,針對企業界的深偽集中在誘騙員工轉移資金給犯罪份子。但 Surace 可以預見深偽被用於敲詐勒索或操縱股票。如果勒索金額夠低,執行長或被鎖定的其他目標,可能決定花錢消災,而不想試著解釋不宜外傳影片中的人實際上不是他們。
Surace 和 Hasse 一樣,也看到了深偽浪潮即將來襲。他預期會有很多詐騙行動,就像針對他的那次一樣,已經有人在做。他說:「人們不想告訴任何人這種事情發生在他們身上。你付了一萬美元就了事,因為你心想,『這是我最不想告訴媒體的事情。』」
Hasse 表示,深偽技術可能就要被人廣泛使用,但缺乏易於使用的深偽套裝工具,還存在一些障礙。令人信服的深偽需要某種水準的運算力量,幸好一些網路犯罪份子還沒有這種力量。
此外,深偽詐騙往往是有針對性的攻擊,例如網路釣大魚(whale phishing),而這需要一些時間去研究獵物。然而潛在的受害者正在社群媒體上,提供自己生活上的大量資訊,幫助網路犯罪份子得遂所願。Hasse 說:「壞人確實缺乏超級精簡的方法,去收集受害者的資料,並以充分自動化的方式,生成深偽內容,但這件事即將到來。」
沒有簡單的解決方法
隨著更多的深偽詐騙可能攻擊企業界,問題是如何應對日益嚴重的威脅。由於深偽技術不斷進步,簡單的答案並不存在。
Hasse 認為,提高警覺和員工訓練非常重要。他說,員工和高階主管需要提防潛在的深偽詐騙,當公司內部人士要求他們做可疑的事情,即使是在視訊通話中,也要回撥核實,確認要求無誤。他說,再打一通電話,或者面對面核實對方的要求,是老式的多重身分驗證形式,但確實有效。
近十年前,資產管理業首次受害於語音詐騙時,顧問師開始將「認識你的顧客」方法提升到新的高度。和客戶對話,先談他們的家庭、愛好和其他的個人資訊,有助於驗證他們的身分。
公司高階主管和其他關鍵員工的另一種防禦方法,可能是在社群媒體上故意撒謊,以擺脫深偽攻擊。他說:「我猜,在某個時點,公司內部會出現確實需要的某些職務。如果你在一家夠大的公司中擔任夠敏感的職務,那麼在社群媒體上可能受到某種程度的關注。社群媒體沙皇總是虎視耽耽,監看所有的帳戶。」
[ 推薦文章:【專訪】台中榮民總醫院院長陳適安 ]
Surace 補充說明,CIO、CISO 和公司其他的高階主管需要提防這方面的威脅,並曉得他們可能成為攻擊目標。他服務的公司銷售根據指紋辨識的穿戴式多重身分驗證(MFA)裝置,他相信下一代的 MFA 產品,可以幫助抵禦深偽詐騙。他說,下一代的 MFA 需要能夠快速、安全地驗證身分,例如員工每次登入 Zoom 會議時。
IANS 的 Williams 不敢說新的技術或員工訓練能不能有效處理問題。他指出,有些人會抗拒使用新的身分驗證裝置,而且網路安全訓練行之有年,成效卻有限。
相反的,公司需要制定各種流程,例如在員工轉帳高額資金時,使用安全的應用程式。用電子郵件或語音電話,要求巨額轉帳並不安全,可是有些組織仍然這麼做。
他說,好幾個世紀以來,人們使用語音和圖像來彼此驗證,但這個時代就要畫下句點。Williams 補充說:「現實情況是,從安全的角度來看,用某人的聲音或圖像相似度,去驗證那個人的身分,一直是不夠的。技術正在趕上我們不合標準或無效的流程。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)