今年 10 月,香港警方成功偵破一宗涉及深偽技術(Deepfake)的大型詐騙集團,拘捕 27 人,揭發該集團以人工智能技術假扮身份行騙,涉及騙款高達 3.6 億港元。詐騙手法不僅包括使用 Deepfake 技術生成虛假影像和聲音,還會結合精心設計的「社交工程」,從情感層面攻破受害者的防線。
無論是冒充網上情緣、假扮加密貨幣投資專家,還是製造悲情故事博取同情,集團成員透過詳細分工和專業訓練,成功吸引大量本地及海外受害人「落搭」。面對這些新型騙局,電腦保安研究員 VX Research 行政總裁賴灼東將為我們分享實用的防範貼士,教大家如何在真假難分的數碼世界中保護自己。
尹思哲:記得上次提過啲 AI 騙案,好似針對公司高層嗰啲,最後原來係假 CFO,畀人攞咗唔少錢。最近又見到,香港又爆出類似案件,警方拉咗廿幾人,今次係針對個人,呃咗 3.6 億咁多!作為資訊保安專家,你有冇留意到呢類 AI 假騙案愈嚟愈多?有咩地方要特別警惕?
賴灼東:呢類真係多咗,因為而家啲科技進步得好快,硬件越嚟越勁,做影像、聲音合成嘅 AI 技術門檻都低咗。正常嚟講啲人可能攞嚟寫程序、生成文字,但騙徒可以攞嚟整假聲、假人出嚟,效果真到連專業人士都難分真假。佢哋會攞受害人嘅相、聲音、甚至社交媒體上嘅資料嚟訓練 AI,令 AI 可以扮得似樣到你認唔出,就咁靠呢啲手段已經可以好輕易呃到人。
尹思哲:咁即係可以用 AI 合成一個人出嚟,回應都好似真人咁?我睇返呢啲騙案,成個係集團式操作,佢哋唔單止用 AI,仲會專門訓練員工,甚至有業績榜,成套心法教你點呃人、點令受害者同情,欺騙受害者嘅情感。即係話,有啲 case 係用 AI 同真人夾埋一齊用?
賴灼東:真人操作會更加有說服力,因為真人會用到一啲地道啲嘅語氣、表達方式,呢啲 AI 未必做到。呢種手法叫「社交工程」,騙徒可以扮做一個熟人,例如假冒你 IT 支援部嘅人話要 reset password,或者扮你個「情人」話喺機場過唔到關,差幾百蚊美金求你幫手。呢啲情節係經過鋪排,令你慢慢對呢個假身份產生感情同信任,等到時候一開口求助,你根本已經冇咩防備心。
實用方法識破騙徒
尹思哲:咁普通人有冇啲方法可以測試對方係咪假嘅?如果懷疑同一個假人傾緊計,有咩簡單直接嘅方法可以識破?
賴灼東:如果係視像嘅話,你可以叫佢做啲即時反應,譬如擺個水樽喺鏡頭前睇下會唔會有 rendering 破綻,因為 DeepFake 做唔到即時透明物件。或者假裝話佢眼鏡有嘢、牙縫有條菜,叫佢即刻處理,睇佢有冇即時反應。另外,可以即刻另外打固網電話俾佢,睇佢接唔接到,呢啲都係測試方法。
尹思哲:咁語音呢?有冇得測試?有時可能係就咁傾電話,唔係視像?
賴灼東:語音方面,可以留意佢語氣同反應速度。試下突然轉語言,例如由廣東話轉英文,睇佢反應會唔會有 delay,因為 AI 通常即時處理語言有難度。又或者假如你明知對方根本唔識一種語言,但佢竟然識得即時回覆你,呢啲都係破綻。
尹思哲:有道理。其實而家啲社交媒體,好多陌生人加 friend request,甚至啲帳戶睇落好似真人咁。係咪應該避免接受呢啲邀請?
賴灼東:係呀,建議唔好亂加陌生人,尤其係啲新帳戶或者無歷史記錄嘅。好多騙徒會用假帳戶攞你信任,甚至會做一個完整假朋友圈。最好定期清理朋友清單,特別係啲唔識、冇互動嘅人。如果發現有古怪嘅陌生帳戶,就要考慮踢走,避免俾假帳戶監察你嘅資訊。但即使係熟人帳號都唔代表背後真係佢本人。
尹思哲:咁多假帳戶,要防真係唔容易。咁我哋應該唔好再網上交友?
賴灼東:唔使咁極端,但係要保持戒心。網上識人冇問題,不過未見面嘅話唔好輕易做交易。其實心法係網上認識嘅人,大家應該一律當佢係假嘅先,一直要到見面確認過係真人,先可以考慮進一步信任對方。
「深偽紅隊」需求增
賴灼東:最近我哋仲有啲請求要我哋做「Deepfake Red Team」(編按:「Red Team」 通常在資訊保安中指「紅隊」,是模擬攻擊者行為,用來測試和挑戰系統或組織安全性的一種手法),簡單嚟講即係用 Deepfake 技術扮人,睇下可唔可以滲透入公司內部測試佢哋嘅警覺性。譬如我哋可以假扮成你老闆,係 LinkedIn 加你,鋪排幾個月等你對我放下戒心,然後開始互動。
尹思哲:聽落真係似間諜劇!呢啲測試對保安教育係咪特別有效?因為平時就噉講資訊保安可能比較悶,但當真係遇到實際嘅情境,效果完全唔同?
賴灼東:完全同意,所以呢啲「Red Team」測試嘅震撼教育好強,以前可能只係簡單發個 Email,而家仲會鋪排兩三個月,先慢慢建立信任,睇佢哋有冇防備。其實企業內部人員切身面對過呢啲處境,先會對保安有更加真實嘅體會。
尹思哲:見到而家多咗呢類查詢,金融業、政府部門呢啲機構會特別有興趣?
賴灼東:係,金融機構尤其多,因為呢啲機構涉及大量敏感資料,保安漏洞可以造成重大損失。而政府部門,有時開會牽涉機密資料,都需要測試佢哋嘅安全防範係咪到位。
尹思哲:的確,今時今日真係唔可以假設所有參與會議嘅人都係真嘅。其實 Zoom 嘅錄音、錄影俾人攞去訓練數據,甚至用嚟扮人都好危險。
賴灼東:係呀,所以有時測試可以試下突擊轉語言,睇對方反應,如果佢即時跟得上,咁可能係高級 AI 操作。其實要對付呢啲科技,人嘅創意都係一種武器!
尹思哲:今日多謝你分享咁多有用資訊!學到好多嘢!
