網絡安全】近日,媒體報道警方首次發現有騙徒利用深度偽造(Deepfake)技術製作偽冒視像會議影片,冒充某跨國公司高層進行詐騙。該案涉及一名跨國公司的職員,這名職員最後被騙轉帳了港幣兩億元至五個本地帳戶。

Deepfake冒充高層

警方表示,相信不法分子透過YouTube取得了該公司高層員工的公開影像和聲音。隨後,不法分子利用Deepfake技術製作了偽冒的視像會議影片片段,進行身份欺騙,冒充公司高層員工,然後對受害者下達指令,要求受害者將大筆資金轉帳至指定帳戶。同時以各種藉口迅速結束會議,使受害者無法提問,導致受害者誤信這些Deepfake的影片是即時的視像會議。

其實Deepfake是深度學習(Deep Learning)和偽造的混成詞。泛指以人工智能(AI)製作偽造訊息,如影像和聲音。常見於影片,影片中的人臉將被換成另一人面。這種技術亦可被用於偽造人聲,只需輸入字句便能假借受害者之聲線讀出,意味著製作深偽影片毋須配音員。然而在本次事件中,就有不法分子利用網上平台找到的臉部外觀和聲音來製作 Deepfake視像會議影片。

十招保障自己

香港電腦保安事故協調中心(HKCERT)呼籲公眾對此類利用AI Deepfake技術的詐騙提高警惕,並採取以下保安最佳實踐以保障自己:

  1. 在進行視像會議前,應核實會議邀請者及會議連結的來源;
  2. 對於任何影像和聲音,應該保持謹慎態度,向多方查證當中資訊的真偽;
  3. 加謹留意影像和聲音,以分辨是否經由 Deepfake 技術製造。與真實的影像和聲音相比,大多數 Deepfake 影像和聲音會有聲畫不一致的細微缺陷;
  4. 應對可疑視像會議時,可要求對方在鏡頭前做出點頭、揮手、掩面或移動鏡頭等動作;
  5. 切勿在陌生對話中透露個人敏感訊息,如密碼、銀行賬戶號碼等;
  6. 避免接聽來自不明來電的視像通話,騙徒可能會藉此收集你的樣貌影像用以製作Deepfake影片;
  7. 避免在社交平台上分享過多個人資訊,尤其是臉部和語音等生物辨識資訊;
  8. 收到帶有緊急語調或有好處的資訊時要更加謹慎和警惕,網上騙徒通常會以這些伎倆來吸引更多的受害者跌入其陷阱;
  9. 進行視像會議時,應檢查並核實與會者的身份,例如透過詢問只有你和該與會者知道的訊息來進行核實;及
  10. 提防釣魚攻擊,切勿點擊或打開任何可疑連結或附件。

五大保安風險

利用 AI Deepfake技術進行新一代釣魚攻擊也是2024 年必須留意的五大保安風險之一,其餘四項風險包括AI「武器化」、網絡犯罪趨向組織化、針對智能設備的攻擊,以及使用第三方服務的風險。

有關AI和Deepfake技術的更多資訊,請參閱HKCERT網站的保安博錄文章:

  1. https://www.hkcert.org/tc/blog/adopt-good-cyber-security-practices-to-make-ai-your-friends-not-foes
  2. https://www.hkcert.org/tc/blog/raise-public-awareness-of-cyber-security-guard-against-risks-of-unknown-whatsapp-video-calls

按此免費訂閱《香港財經時報》HKBT 新聞快訊