近期,不法分子利用AI深度合成技術(shù)進(jìn)行釣魚(yú)詐騙的案件頻發(fā),專(zhuān)家提醒由于深度合成技術(shù)具有高度逼真的偽造能力,目前已被不法分子廣泛應(yīng)用于各類(lèi)詐騙活動(dòng),加強(qiáng)識(shí)別和防范利用深度合成技術(shù)的釣魚(yú)欺詐變得尤為重要。

 

深度合成技術(shù)是指基于深度學(xué)習(xí)(Deep Learning)和生成式人工智能(Generative AI)的算法,對(duì)圖像、視頻、音頻、文本等數(shù)字內(nèi)容進(jìn)行生成、編輯或操縱,使其具備高度逼真性或創(chuàng)造性的一種技術(shù)。深度合成技術(shù)近年來(lái)快速發(fā)展,其技術(shù)門(mén)檻快速降低,已出現(xiàn)一鍵生成等明顯社區(qū)化的趨勢(shì),如視頻應(yīng)用“一鍵換臉”“克隆音色”已成為危害網(wǎng)民財(cái)產(chǎn)的重災(zāi)區(qū)。

 

一、深度合成技術(shù)在釣魚(yú)欺詐中的典型現(xiàn)象

 

(一)偽造身份欺詐

 

不法分子通過(guò)數(shù)據(jù)爬取、信息拼接等手段偽造社交賬號(hào),精心構(gòu)建虛假身份。借助AI生成的虛假視頻或語(yǔ)音信息構(gòu)建“信任錨點(diǎn)”,以“商務(wù)合作”等高頻場(chǎng)景為誘餌,完成欺詐鏈路的搭建,誘導(dǎo)受害者觸發(fā)惡意鏈接或下載潛藏病毒的文件,致使商業(yè)機(jī)密信息泄露。典型案例為2022年某科技公司員工,因輕信“假CEO”社交賬號(hào)發(fā)起的聯(lián)絡(luò),并點(diǎn)擊釣魚(yú)鏈接,最終致使公司核心數(shù)據(jù)泄露,造成重大損失。

 

(二)AI語(yǔ)音克隆詐騙

 

不法分子通過(guò)公開(kāi)渠道獲取目標(biāo)對(duì)象(如CEO、親友等)的語(yǔ)音原聲樣本,運(yùn)用聲紋建模等技術(shù),對(duì)原聲進(jìn)行全方位復(fù)刻,模擬語(yǔ)氣韻律、情感特質(zhì)以及日常背景噪音等細(xì)節(jié)特征。受害人掉入不法分子的信任陷阱后,在錯(cuò)誤認(rèn)知下進(jìn)行轉(zhuǎn)賬操作或泄露關(guān)鍵敏感信息。2023年香港某公司遭遇的詐騙案件堪稱(chēng)此類(lèi)犯罪的典型,犯罪分子借助AI精準(zhǔn)模仿英國(guó)母公司CFO的聲音,成功騙取香港分公司巨額資金。

 

(三)視頻會(huì)議詐騙

 

不法分子通過(guò)多種渠道獲取高管或親友的人臉圖像數(shù)據(jù),結(jié)合Deepfake等換臉技術(shù),將偽造人臉深度嵌入實(shí)時(shí)視頻會(huì)議或在線聊天場(chǎng)景。以緊急事務(wù)為由,指令財(cái)務(wù)人員進(jìn)行轉(zhuǎn)賬或誘使親友簽署虛假合同。2024年某歐洲企業(yè)的案例中,詐騙者利用Deepfake技術(shù)偽造CEO視頻影像,向會(huì)計(jì)下達(dá)向“供應(yīng)商”支付貨款的指令,導(dǎo)致企業(yè)資金被騙取。

 

二、多維度加強(qiáng)防范利用深度合成技術(shù)釣魚(yú)

 

深度合成技術(shù)的濫用對(duì)信息安全與財(cái)產(chǎn)安全構(gòu)成系統(tǒng)性威脅,需從監(jiān)管治理、企業(yè)防護(hù)、個(gè)人意識(shí)三個(gè)層面構(gòu)建立體化防控體系。

 

(一)完善制度供給與行動(dòng)治理

 

立法層面:國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家廣播電視總局聯(lián)合出臺(tái)《人工智能生成合成內(nèi)容標(biāo)識(shí)辦法》,從立法層面明確要求服務(wù)提供者及網(wǎng)絡(luò)傳播服務(wù)提供者對(duì)用戶(hù)合成內(nèi)容進(jìn)行顯示/隱式標(biāo)識(shí),建立“技術(shù)生成-標(biāo)識(shí)嵌入-傳播監(jiān)控”全鏈條管理機(jī)制。此舉增強(qiáng)信息透明度,減少虛假傳播、提升公眾防范意識(shí)。

 

專(zhuān)項(xiàng)行動(dòng)治理:中央網(wǎng)信辦定期發(fā)布專(zhuān)項(xiàng)行動(dòng),如中央網(wǎng)信辦部署開(kāi)展“清朗·整治AI技術(shù)濫用”專(zhuān)項(xiàng)行動(dòng),聚焦深度合成技術(shù)的非法應(yīng)用場(chǎng)景,加強(qiáng)AI生成合成技術(shù)和內(nèi)容標(biāo)識(shí)管理,重點(diǎn)打擊假冒他人身份等違法犯罪行為,維護(hù)網(wǎng)絡(luò)空間秩序與安全,增強(qiáng)社會(huì)信任與倫理意識(shí),促進(jìn)AI行業(yè)健康有序發(fā)展。

 

(二)企業(yè)強(qiáng)化技術(shù)防護(hù)與管理機(jī)制

 

構(gòu)建多層級(jí)審批驗(yàn)證體系,針對(duì)大額轉(zhuǎn)賬、核心數(shù)據(jù)調(diào)取等業(yè)務(wù)指令,實(shí)施多方式認(rèn)證與規(guī)范化流程審批,并在視頻會(huì)議場(chǎng)景中引入活體檢測(cè)、人臉關(guān)鍵點(diǎn)比對(duì)等技術(shù)模塊,確保交互信息的真實(shí)性與可靠性。

 

加強(qiáng)智能檢測(cè)系統(tǒng)部署,運(yùn)用人工智能算法與機(jī)器學(xué)習(xí)模型,對(duì)異常語(yǔ)音模式與視頻特征進(jìn)行實(shí)時(shí)監(jiān)測(cè)與智能識(shí)別,及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

 

權(quán)限分級(jí)分類(lèi)管理,對(duì)財(cái)務(wù)、人力資源等關(guān)鍵部門(mén)的通訊錄權(quán)限及業(yè)務(wù)核心數(shù)據(jù)進(jìn)行精細(xì)化管理,采用最小權(quán)限原則,嚴(yán)格限制高管聯(lián)系方式的知悉范圍及接觸核心數(shù)據(jù)的人員,防止信息泄露引發(fā)的安全風(fēng)險(xiǎn)。

 

加強(qiáng)常態(tài)化安全意識(shí)培訓(xùn),定期組織內(nèi)部培訓(xùn)活動(dòng),將深度合成技術(shù)詐騙防范知識(shí)納入員工培訓(xùn)體系,通過(guò)案例分析、模擬演練等形式,提升員工的風(fēng)險(xiǎn)防范意識(shí)與應(yīng)急處置能力。

 

(三)個(gè)人提升防范意識(shí)

 

交互行為安全準(zhǔn)則:堅(jiān)決不點(diǎn)擊來(lái)源不明的陌生鏈接,建議通過(guò)手動(dòng)輸入官方網(wǎng)址或使用官方認(rèn)證App進(jìn)行操作。在涉及轉(zhuǎn)賬等關(guān)鍵業(yè)務(wù)時(shí),務(wù)必進(jìn)行多渠道、多方式的確認(rèn)核實(shí),確保交易對(duì)象的真實(shí)性。

 

生物特征數(shù)據(jù)隱私保護(hù):審慎對(duì)待個(gè)人生物特征數(shù)據(jù)的公開(kāi)與共享,及時(shí)關(guān)閉社交平臺(tái)中涉及生物特征信息的公開(kāi)權(quán)限,采用加密技術(shù)與訪問(wèn)控制手段,限制陌生人對(duì)個(gè)人信息的獲取,從源頭保障個(gè)人生物信息安全。

 

密碼策略與安全管理:定期更換個(gè)人賬號(hào)密碼,密碼設(shè)置大小寫(xiě)字母、數(shù)字與特殊字符,長(zhǎng)度不少于12位,提升密碼復(fù)雜度,降低密碼泄露風(fēng)險(xiǎn),使用密碼管理工具生成并存儲(chǔ)唯一密碼,避免多平臺(tái)共用同一密碼憑證。

 

加強(qiáng)自我防范學(xué)習(xí):深度合成技術(shù)雖發(fā)展迅猛,但仍存在固有技術(shù)缺陷。個(gè)人應(yīng)了解并掌握相關(guān)識(shí)別技巧,如視頻中人臉面部細(xì)節(jié)不自然、背景噪音與語(yǔ)音失配、語(yǔ)調(diào)機(jī)械呆板、情感表達(dá)缺失、人物動(dòng)作與語(yǔ)音節(jié)奏不一致等異常特征,通過(guò)自我學(xué)習(xí)與經(jīng)驗(yàn)積累,提升對(duì)深度合成欺詐內(nèi)容的識(shí)別能力。

 

深度合成技術(shù)催生的新型釣魚(yú)欺詐,本質(zhì)上是技術(shù)進(jìn)步與安全風(fēng)險(xiǎn)的伴生問(wèn)題。為應(yīng)對(duì)這一挑戰(zhàn),個(gè)人及企業(yè)均需充分認(rèn)識(shí)到這一問(wèn)題的本質(zhì),積極主動(dòng)地學(xué)習(xí)相應(yīng)的防范策略,有效多維聯(lián)動(dòng),才能有效抵御來(lái)自不法分子的釣魚(yú)攻擊,在技術(shù)創(chuàng)新與安全保障之間切實(shí)維護(hù)自身的財(cái)產(chǎn)安全與信息安全。

 

文/李雪妮(公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組專(zhuān)家)

編輯 楊娟娟

校對(duì) 穆祥桐