為了防堵日益猖獗的數位詐騙,資訊科技業者須積極導入先進的 AI 解決方案,才能在數位時代保持領先。
文/Rick Grinnell·譯/Frances
各位資訊長或資訊安全長,不久前有篇令人印象深刻的報導,提及詐騙犯利用 AI 深偽技術在一個視頻會議中,假冒成一家香港公司的首席財務長,向一位在跨國公司的金融人員詐騙了2500萬美元。
[ 熱門精選 :產業資安聚焦、採購項目,以及零信任導入趨勢 ]
這起事件中,詐騙集團利用從 YouTube 上取得的目標高階主管公開影片和音訊,製作出深偽影片來欺騙財務人員,讓他們執行多筆交易到香港的銀行帳戶,造成公司重大財務損失。這些數位冒名者模仿財務人員真實團隊的程度之高,令人不安。
這起真實世界中的深偽事件,正是資訊長和資訊安全長們多年來一直擔憂的事情。
用 AI 工具來反制 AI 詐騙
為防範 AI 生成技術帶來的威脅,資訊長和資訊安全長必須部署基於 AI 的防禦措施。 現今已有尖端解決方案利用人工智慧進行身份驗證和即時交易授權,為此類精密攻擊提供強而有力的反制措施。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
強化資安防護,AI 身分辨識與存取控管技術不可或缺。這些解決方案結合行動加密、設備遙測和 AI 演算法,能有效抵禦深偽和行動裝置注入攻擊,為員工、合作夥伴和客戶築起堅實的身份安全防線。
客用社交工程取得存取權限
如同前述案例,駭客的攻擊行動常以獲取經濟利益為目的,但除此之外,其背後的動機也可能包括製造政治動亂、純粹想破壞企業聲譽等等。
駭客常用的攻擊戰術包括發送釣魚郵件或散佈社群媒體假訊息,藉此竊取企業帳密。2023年秋季,我曾撰文探討黑貓(BlackCat/ALPHV)和分散蜘蛛(Scattered Spider)駭客集團對美高梅國際飯店集團(MGM Resorts International)和凱撒娛樂集團(Caesars Entertainment)發動的攻擊事件。在這類勒索軟體犯罪中,駭客入侵包含會員駕照資訊和社會安全碼的資料庫後,便會向企業勒索金錢。
上述攻擊事件並未使用人工智慧相關的深偽技術,而是採取較低技術的手段,利用社交工程來模擬員工身分,進而騙過 IT 客服人員取得權限。我們可以從中汲取教訓:一旦授予權限,就為時已晚。隨著人工智慧的加入,這類攻擊將變得更加普遍,後果也將更加嚴重。
你能信任誰?
分散的團隊和遠距工作的情況使這個問題更加惡化。即使借助視訊驗證,客服部門也不可能驗證每一位員工的身份。當您考慮到商業夥伴、客戶和第三方供應商時,這個問題會變得更加棘手。
您可能會與多家第三方合作,並信任他們可以訪問您的網路和數據,但您可能需要更了解他們及其員工,才能降低風險。例如,一個偽造的供應商聲音可能會試圖確認出貨或驗證付款指示。您組織中的某個人可能曾在某個時候見過該供應商,相信這個假冒者是真實的,並且可能願意提供帳戶信息,就像那位香港財務經理一樣。到那時會發生什麼?
[ 推薦文章 :深偽即將與你糾纏不清 ]
關鍵在於利用新型 AI 解決方案「嚴守門戶」,這些方案有助於管理憑證、驗證員工身分並限制存取控制。部分軟體產品已結合行為和生物特徵辨識技術,可即時應用於確保使用者真實身分和存取權限。
- 守衛數位足跡(Digital Presence): 面對社群媒體平台上假冒企業頁面氾濫,企業形象和資產安全岌岌可危。為防範銷售、聲譽和客戶信任遭受損害,善用AI技術強化數位防禦可謂刻不容緩。
- 抵禦深偽技術: 即時 AI 身分辨識工具是打擊深偽技術的關鍵,透過驗證用戶身份,確保交易安全和帳戶變更安全無虞。
- 驗證每次的互動:驗證每一次互動:在身份和認證欺詐猖獗的時代,CIO和CISO必須確保每一筆交易和身份驗證過程的完整性。
近期,駭客甚至發現透過一款名為「GoldPickaxe」的 iOS 和 Android 木馬程式,就能入侵儲存生物辨識授權檔案。這件事敲響了另一記警鐘,因為我們現在明白,先前儲存用於比對指紋或臉部掃描的生物辨識資料,也可能遭受攻擊。
面對這些不斷演變的威脅,針對身分盜竊、AI 詐騙和深偽技術詐騙的風險進行全面培訓非常重要。然而,僅僅依靠教育是不夠的,而且您也不可能手動完成所有工作。企業必須主動採用先進的 AI 解決方案,才能領先於這些網路犯罪分子。
問題不在於你是否準備好了,而在於你能否快速且有效地採用基於 AI 的分析解決方案來進行身分辨識和存取授權。AI 的貓捉老鼠遊戲已經開始——你準備好了嗎?
(本文授權非營利轉載,請註明出處:CIO Taiwan)