隨著人工智慧(AI)的蓬勃發展,衍生出許多讓人們生活、工作都更加便利的應用工具,但也在某種程度上讓一般人的資安環境變得更加脆弱。為什麼?因為AI 的應用讓消費者生活更加便捷,但也成為攻擊者利用的突破口。
對於許多人來說,說到「AI 帶來的資安難題」首要想到的可能會是詐騙技術精進,像是深偽技術(Deepfake)與釣魚攻擊手法更加提升。
事實的確如此,據聯合國今年 10 月釋出的報告顯示,光是在 2023 年,發生在東亞與東南亞的詐騙經濟損失就高達 180 億美元至 370 億美元之間,其中有很大部分的損失是源自東南亞組織犯罪集團的詐騙所造成。報告中也指出,涉及由 AI 驅動的深偽技術犯罪案例也大幅增加,2024 上半年就偵測到東南亞犯罪集團透過深偽技術的詐騙內容增加了 600% 以上。
什麼是深偽技術?這是一種易於犯罪份子進行身份冒充的技術,攻擊者可利用深偽技術模仿消費者的聲音或面容,進行銀行交易、網路購物等活動;深偽技術也會被用於生成虛假影片和內容,誤導消費者的判斷,甚至引發社會恐慌。
關於深偽技術最知名的犯罪案例,就是 2020 年至 2021 年間,有知名網紅透過深偽技術將女性藝人、政治人物、網紅等的臉合成色情片主角的事件。
據 Whoscall 母公司 Gogolook 的觀察,AI 已被詐騙集團使用在網站架設、文本生成等;例如誘騙受害者加入群組,先使用 AI chatbot 在第一階段試探,鎖定容易上鉤的對象,轉到另一個帳號才安排真人接手,降低詐騙營運的成本。此外,當然也包含影音深偽技術的使用。
Whoscall 用戶回報中,也出現許多與 AI 有關的號碼名稱,例如「沒有回應,AI 聲紋錄音」、「模仿兒子聲音來電告知手機壞了要求加 line」、「詐騙電話,錄音給 AI 使用」、「AI 語音,小心錄音變音」。相關疑似 AI 語音詐騙查詢辨識量在今年 6 月統計時已年增 4 倍。
至於在釣魚攻擊方面,據資安公司 SlashNext 早先釋出的《2023 釣魚狀況報告》顯示,網路惡意人士透過生成式 AI 的快速成長,讓釣魚攻擊案例也大幅增加,尤其是「帳號資訊」類的釣魚攻擊案例就上升了 967%。
為何在 AI 的介入下讓網路釣魚變得更加難以辨認?宏碁集團旗下資安廠安碁資訊指出,主因在於透過生成式 AI 可快速生成大量的釣魚內容,還可生成多國語言內容,不僅語法正確且還能模擬當地人的表達方式。
透過 AI 生成的釣魚信件內容說服力也相當強,容易誘使消費者提供個資或點擊惡意連結,這一類高度你真、高度針對性的釣魚信件,讓一般人難以辨認。
不過在 AI 時代下,一般消費大眾要擔心的不僅是詐騙手法提升。
數據隱私遭侵犯
AI 技術最大的特性就是要大量地投餵數據來進行訓練,使得消費者的個人數據也會成為核心資源;但對於個人而言,最需要擔心的就是自身的數據被過度收集、儲存(例如由語音助理或智慧裝置所收集的資料),因為這些數據一旦產生外洩疑慮,就有可能導致身份盜竊或其他犯罪活動。
且有些人可能習慣將許多數據儲存在雲端空間中,但雲端空間若遭受攻擊,也將讓人面臨無法挽回的隱私損害。
金融詐騙
對於一般民眾來說,最害怕遇上金融詐騙;然而現在 AI 自動化的特性則是讓金融欺詐更加高效,消費者的資金安全受到挑戰。
駭客可能會利用 AI 生成一套看起來有模有樣的投資計畫或貸款產品誘騙消費者參與虛假金融活動;或者是透過 AI 來模擬合法交易行為,利用支付系統漏洞盜刷消費者的帳戶。
金融詐騙也有可能會與深偽技術加以搭配,透過 AI 生成一個完全不存在的人物與受害者互動,藉此博得對方的信任,提高對方受騙的機率。
金融詐騙與深偽技術融合使用的真實案例,就是在今年初時,有惡意人士將外國知名女歌手泰勒絲(Taylor Swift)的臉合成至假影片中,聲稱民眾只需要支付 10 美元的運費,就能免費獲得知名鍋具;但這件事當然不是真的,受害者在支付 10 美元後不但收不到東西,如果稍不注意,信用卡還有可能會每月持續被扣款。
提供有害內容
許多人在詢問 AI 問題後,會對於 AI 的答案深信不疑、而沒有多加驗證。但事實上,AI 系統可能因訓練數據不當而表現出偏頗,甚至生成有害內容,對消費者造成誤導或傷害。
像是購物網站或媒體平台的 AI 推薦可能強化某些偏見,限制消費者接觸更廣泛的選擇;被駭的 AI 系統可能生成具攻擊性或不實的內容,對消費者造成心理或情感上的影響。
這一類的案例最常出現在某些社交媒體中,這一類的平台往往會為了提升用戶的參與度、更吸睛,因此會推薦一些較為情緒化或極端的內容,這樣的機制將會導致使用者暴露在負面的資訊中,因而引發焦慮、憂鬱等對心理健康不佳的問題。
AI 時代下一般人該如何自保
最重要的就是要提升個人資安意識,學會辨別網絡釣魚攻擊與深偽技術詐騙,謹慎處理個人資料;且為了防止重要帳號被盜,最好使用高強度密碼,並為所有重要帳戶都啟用雙重驗證。
另外,也應確保所有使用的 IoT 設備和軟件都保持最新版本,修補潛在漏洞;且在選擇服務提供商時應優先選擇具有良好安全聲譽的品牌和平台。為了即時發現金融帳戶異常,也應該要定期檢查帳戶活動。
(首圖來源:Pixabay)