【新興安全威脅】Deep fake 話咁易!AI 語音釣魚詐騙術
「你已被限制出境……」
嚟自「入境處」嘅預錄語音詐騙電話,相信大家聽完都唔會上當。但若然今日你收到電話,傳嚟老闆嘅聲音,指示你幫公司轉帳到其他戶口,相信唔少自稱 Small potato 嘅順命打工仔都會乖乖照做?殊不知⋯⋯一切都係黑客嘅最新釣魚攻擊— AI 偽冒語音術!
咩係 AI 偽冒語音?
之所以偽冒到其他人,原理在於人工智能的深度學習技術,有別「入境處」所用的傳統文本語音轉換技術(Test-to-Speech,簡稱 TTS),AI 系統每日只需分析一個人幾分鐘嘅錄音檔,湊夠兩個鐘就可以偽造出極似「真人」嘅合成語音。日常應用大家都應該唔陌生,例如 Apple Siri,Amazon Alexa,以及汽車導航系統等生活例子。
而黑客則將之演變為「語音釣魚」詐騙術!由於現時 AI 合成語音技術可謂垂手可得,想要各大軟件甚至製作 AI 語音嘅內部程式碼,都可以喺網上搵到,再通過重編程式碼內嘅演算法,製作出自然又充滿情感嘅「真人」聲帶,簡直易過借火!網絡安全公司 UpGuard 的風險研究人員 Chris Vickery 就警告:「偽造語音將會係一種『蒙蔽』全世界嘅新興安全威脅。」直言:「估唔到自己最初提出嘅假設成真,語音偽造真係進化為網絡釣魚嘅手段。愈嚟愈多黑客利用 AI 製造出令人信任的家庭成員或企業高層的偽造聲音,然後打電話畀個人或企業,以騙取金錢甚至係機密數據。」
語音釣魚 Deep fake 棘手實例
本來語音合成技術唔算係咩高科技嘢,但黑客以此進行網絡釣魚,勝在輕易騙取信賴,繼而令受害者自爆敏感資訊。而且黑客多數會老作來電顯示號碼,或假扮自動語音系統,完美隱藏身分以躲避執法部門的監聽或追蹤,相當棘手。要引用最大規模嘅語音釣魚實例,就不得不提英國能源公司總裁誤以為收到德國總部嘅電話,實情係黑客巧妙偽冒 CEO 嘅德國口音,即使對電話中嘅口音有懷疑,但黑客正正捉住人「唔會侮辱人哋口音」嘅尊重心理,就咁輕鬆訛詐咗 22 萬歐元(約 199 萬港元)!而且 Vickery 補充:「 AI 偽造語音更可以實時更改,以模仿該聲音,就好似網絡盛行嘅 Deep fake 例子一樣。」所以今時今日,天外有天、人外有 AI ,奉勸各位防人之心不可無,聽到熟悉嘅人來電都千其唔好掉以輕心!
唔想錯過熱門網絡保安消息,請即訂閱 wepro180 電子周報:https://bit.ly/2ZcCi9J