警方表示今年 1 月底接獲全港首宗利用深偽技術進行多人視像會議的詐騙案件,更有別於以往「單對單」式詐騙,今次騙徒利用多人視像會議,利用技術偽造其他與會者的聲音及嘴型,騙去香港某跨國公司逾 2 億元款項。
是次騙案有如電影《Ocean’s Eleven》情節的人工智能 deepfake 加強版,我們如何防範未來的「深科技」攻擊?漏洞及入侵研究員賴灼東將帶領我們深入分析這一事件的始末。他認為要對抗這種科技風暴,我們最有效的防護措施並非某種高科技方案,而是「人」 – 透過正確的培訓和制定應對 SOP,企業或個人都可以強化自己的防禦能力,提升警覺性,應對與日俱新的深科技騙子。
案發經過
2024 年 2 月,警方透露,今年 1 月底發生了全港第一宗運用深偽技術進行多人視像會議詐騙的案件。這次案件與過去的「單對單」詐騙有所不同,詐騙者運用多人視像會議,透過技術模仿其他與會者的聲音和口型。
受害者是一家跨國企業,其香港財務人員收到一條自稱來自英國總公司首席財務官的短訊,聲稱需要進行機密交易,要求參加線上多人視像會議。在視像會議上,除了該英國首席財務官外,還有其他看似是英國財務人員的人。過程中該名香港員工被指示進行轉帳交易,其後共進行了 15 次轉帳,總金額達 2 億港元,轉入了本地 5 個銀行帳戶。
約一週後,涉事香港公司與總公司核實後方發現並無任何「秘密交易」,才意識到已經受騙,遂報警處理。除了被騙的員工外,同公司其他員工也曾被指示參加相關視像會議。過程中,詐騙者假扮成英國首席財務官,透過 WhatsApp、電子郵件以及「單對單」視像會議與香港員工溝通,以增加可信度。
大機率電腦事前被入侵
在分析案情及詐騙手法以制定適當的防範措施方面,我們這次訪問了在業內又名為「道德駭客」(Ethical Hacker) 的漏洞及入侵研究專家賴灼東 Anthony,替我們深入挖掘,剖析事件的來龍去脈!
「首先,讓我們來看看香港的情況。在香港,許多基金公司,特別是在中環地區,這些公司往往規模不大,僅有十至二十名員工,但實際上財務實力雄厚。這些公司多為跨國企業,涵蓋加拿大、美國和香港等地。然而,就其 IT 和安全知識而言,實際情況卻相對薄弱。」
賴灼東表示,意識不足的意思是,當你看到的畫面模糊不清,而僅認為這僅是解析度的問題、圖像不清晰,未能聯想到可能有騙徒在偽裝,就可以定義為意識不足。「對於那些規模較大、較正式的基金公司或美資公司來說,他們通常會有更嚴格的程序和多重的審批流程。」
賴灼東認為從犯罪手法和技術方面來看,入侵者善於獲取資料,就像電影《Ocean’s Eleven》情節一樣,他們會仔細搜集目標公司的資料,包括客戶信息、業務對象等,以了解對方的營運模式和習慣,利用事先取得的會議記錄和訂單等資料,模仿主管發出指示,要求舉行特定會議。」
「現今,許多入侵者利用深度學習和機器學習等技術,使得其製作的虛假內容、影像和聲音與真人幾乎無法區分,例如在 Zoom Meeting 等工具,會議錄音和錄影檔案存放在資料夾中,假設電腦被入侵,入侵者將輕而易舉地獲取以往的會議記錄,了解對方的語言風格和慣常表現,實施偽冒行動。」
預防措施一:金融交易作業程序
為了保障您資料安全,賴灼東建議企業採取標準作業程序(Standard Operating Procedure),仿效傳統銀行電話理財的身份認證流程,「可要求對方出示身份證明文件,例如護照、銀行帳戶或卡片等。如果對方無法提供這些資料,請謹慎處理;但入侵者可能會竊取您的個人資料,務必從不同的鏡頭角度去檢查。與此同時,員工亦要好好保護自己護照的資料。」
「企業每當遇到轉帳匯款要求,最好嘅方法是要求對方在鏡頭前出示身份證明證件,與此同時要求對方回答一些指定的身份認證問題,就像平日使用銀行的電話理財一樣,每次都要回答不同的問題。如果想加倍『穩陣』,某至可以要求對方稍候片刻,hold 住對話然後再以另一部裝置,以傳統固網電話(不用 WhatsApp 或其他軟件)致電對方,再觀察對方畫面有沒有收到來電,進一步驗證身份。」
預防措施二:防止駭客入侵
由於是次入侵疑似有持份者電腦事前被入侵,以獲取過去會議紀錄影片。賴灼東另一項建議是定期更新您的電腦系統和軟件。「不要忽視軟件更新,因為漏洞可能會讓駭客利用。請注意操作系統和瀏覽器的安全性,避免受到遠程攻擊。另外也要注意網絡安全和電子郵件的保護,一個假扮成普通的 google calendar invite 的 email,如果不慎按下,也有可能成為 Zero-day attack 漏洞入侵的機會。」
Foscam exploits are now in high demand!
Found a preauth RCE in one of Foscam’s IP cameras?Submit your findings today at https://t.co/YfFbeqciUU and see how much your research is really worth 💸💸💸 pic.twitter.com/LcXBJh2eiN
— SSD Secure Disclosure (@SecuriTeam_SSD) February 6, 2024
所謂 Zero-day attack(零日攻擊)指的是駭客利用軟件中未被發現(即開發者和公眾都尚未知曉)的安全漏洞進行的攻擊。Zero-day 這個名稱來自於開發者在了解到漏洞存在的那一刻起,實際上已經面臨被攻擊的風險,而在這之前,他們有「零天」時間來修補這個漏洞。
「坊間有不少『正規』比賽,將 Zero-day 漏洞主動匯報 Google 或 Microsoft 等科技公司,但其實在 dark market 部分正以高價 50 萬至 100 萬美金出售也為數不少。舉例我留意到一些針對 Zero-day 漏洞買賣的『broker』,對一個名為 Foscam 的 IP Cam 的潛在漏洞十分有興趣。換言之,代表 broker 背後有買家願意出價購買,有可能進行監察活動,也有可能用來實施網絡攻擊!」
Deepfake 行騙門檻低
考慮到香港是次「先例」有公司損失 2500 萬美元金額,騙徒即使用 100 萬美元購買了「零日漏洞」,仍有相當「水位」去以身試法。
事實上,近年隨著 AI 技術的普及發展,能為騙徒「換臉換聲」並同時登入 Zoom 會議的軟件工具,使用門檻已經變得相當低,這些 deepfake 工具再和電腦被入侵的風險,再加上企業網絡安全意識不足,將會大大增加同類「深科技騙案」再次發生的機率!
處身數位時代,除了企業之外,其實每一個人都有可能成為攻擊對象,當我們在享受科技帶來的便利的同時,也要同意增強自身防護意識及能力。最佳預防措施往往不是什麼科技方案或軟件,而是「人的因素」,一些有效應對類似情況的 SOP,也可以從員工培訓當中建立。
編採:尹思哲