近期,不法分子利用AI深度合成技術(shù)進行釣魚詐騙的案件頻發(fā),專家提醒由于深度合成技術(shù)具有高度逼真的偽造能力,目前已被不法分子廣泛應(yīng)用于各類詐騙活動,加強識別和防范利用深度合成技術(shù)的釣魚欺詐變得尤為重要。

 

深度合成技術(shù)是指基于深度學(xué)習(xí)(Deep Learning)和生成式人工智能(Generative AI)的算法,對圖像、視頻、音頻、文本等數(shù)字內(nèi)容進行生成、編輯或操縱,使其具備高度逼真性或創(chuàng)造性的一種技術(shù)。深度合成技術(shù)近年來快速發(fā)展,其技術(shù)門檻快速降低,已出現(xiàn)一鍵生成等明顯社區(qū)化的趨勢,如視頻應(yīng)用“一鍵換臉”“克隆音色”已成為危害網(wǎng)民財產(chǎn)的重災(zāi)區(qū)。

 

一、深度合成技術(shù)在釣魚欺詐中的典型現(xiàn)象

 

(一)偽造身份欺詐

 

不法分子通過數(shù)據(jù)爬取、信息拼接等手段偽造社交賬號,精心構(gòu)建虛假身份。借助AI生成的虛假視頻或語音信息構(gòu)建“信任錨點”,以“商務(wù)合作”等高頻場景為誘餌,完成欺詐鏈路的搭建,誘導(dǎo)受害者觸發(fā)惡意鏈接或下載潛藏病毒的文件,致使商業(yè)機密信息泄露。典型案例為2022年某科技公司員工,因輕信“假CEO”社交賬號發(fā)起的聯(lián)絡(luò),并點擊釣魚鏈接,最終致使公司核心數(shù)據(jù)泄露,造成重大損失。

 

(二)AI語音克隆詐騙

 

不法分子通過公開渠道獲取目標(biāo)對象(如CEO、親友等)的語音原聲樣本,運用聲紋建模等技術(shù),對原聲進行全方位復(fù)刻,模擬語氣韻律、情感特質(zhì)以及日常背景噪音等細節(jié)特征。受害人掉入不法分子的信任陷阱后,在錯誤認知下進行轉(zhuǎn)賬操作或泄露關(guān)鍵敏感信息。2023年香港某公司遭遇的詐騙案件堪稱此類犯罪的典型,犯罪分子借助AI精準模仿英國母公司CFO的聲音,成功騙取香港分公司巨額資金。

 

(三)視頻會議詐騙

 

不法分子通過多種渠道獲取高管或親友的人臉圖像數(shù)據(jù),結(jié)合Deepfake等換臉技術(shù),將偽造人臉深度嵌入實時視頻會議或在線聊天場景。以緊急事務(wù)為由,指令財務(wù)人員進行轉(zhuǎn)賬或誘使親友簽署虛假合同。2024年某歐洲企業(yè)的案例中,詐騙者利用Deepfake技術(shù)偽造CEO視頻影像,向會計下達向“供應(yīng)商”支付貨款的指令,導(dǎo)致企業(yè)資金被騙取。

 

二、多維度加強防范利用深度合成技術(shù)釣魚

 

深度合成技術(shù)的濫用對信息安全與財產(chǎn)安全構(gòu)成系統(tǒng)性威脅,需從監(jiān)管治理、企業(yè)防護、個人意識三個層面構(gòu)建立體化防控體系。

 

(一)完善制度供給與行動治理

 

立法層面:國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家廣播電視總局聯(lián)合出臺《人工智能生成合成內(nèi)容標(biāo)識辦法》,從立法層面明確要求服務(wù)提供者及網(wǎng)絡(luò)傳播服務(wù)提供者對用戶合成內(nèi)容進行顯示/隱式標(biāo)識,建立“技術(shù)生成-標(biāo)識嵌入-傳播監(jiān)控”全鏈條管理機制。此舉增強信息透明度,減少虛假傳播、提升公眾防范意識。

 

專項行動治理:中央網(wǎng)信辦定期發(fā)布專項行動,如中央網(wǎng)信辦部署開展“清朗·整治AI技術(shù)濫用”專項行動,聚焦深度合成技術(shù)的非法應(yīng)用場景,加強AI生成合成技術(shù)和內(nèi)容標(biāo)識管理,重點打擊假冒他人身份等違法犯罪行為,維護網(wǎng)絡(luò)空間秩序與安全,增強社會信任與倫理意識,促進AI行業(yè)健康有序發(fā)展。

 

(二)企業(yè)強化技術(shù)防護與管理機制

 

構(gòu)建多層級審批驗證體系,針對大額轉(zhuǎn)賬、核心數(shù)據(jù)調(diào)取等業(yè)務(wù)指令,實施多方式認證與規(guī)范化流程審批,并在視頻會議場景中引入活體檢測、人臉關(guān)鍵點比對等技術(shù)模塊,確保交互信息的真實性與可靠性。

 

加強智能檢測系統(tǒng)部署,運用人工智能算法與機器學(xué)習(xí)模型,對異常語音模式與視頻特征進行實時監(jiān)測與智能識別,及時發(fā)現(xiàn)潛在風(fēng)險。

 

權(quán)限分級分類管理,對財務(wù)、人力資源等關(guān)鍵部門的通訊錄權(quán)限及業(yè)務(wù)核心數(shù)據(jù)進行精細化管理,采用最小權(quán)限原則,嚴格限制高管聯(lián)系方式的知悉范圍及接觸核心數(shù)據(jù)的人員,防止信息泄露引發(fā)的安全風(fēng)險。

 

加強常態(tài)化安全意識培訓(xùn),定期組織內(nèi)部培訓(xùn)活動,將深度合成技術(shù)詐騙防范知識納入員工培訓(xùn)體系,通過案例分析、模擬演練等形式,提升員工的風(fēng)險防范意識與應(yīng)急處置能力。

 

(三)個人提升防范意識

 

交互行為安全準則:堅決不點擊來源不明的陌生鏈接,建議通過手動輸入官方網(wǎng)址或使用官方認證App進行操作。在涉及轉(zhuǎn)賬等關(guān)鍵業(yè)務(wù)時,務(wù)必進行多渠道、多方式的確認核實,確保交易對象的真實性。

 

生物特征數(shù)據(jù)隱私保護:審慎對待個人生物特征數(shù)據(jù)的公開與共享,及時關(guān)閉社交平臺中涉及生物特征信息的公開權(quán)限,采用加密技術(shù)與訪問控制手段,限制陌生人對個人信息的獲取,從源頭保障個人生物信息安全。

 

密碼策略與安全管理:定期更換個人賬號密碼,密碼設(shè)置大小寫字母、數(shù)字與特殊字符,長度不少于12位,提升密碼復(fù)雜度,降低密碼泄露風(fēng)險,使用密碼管理工具生成并存儲唯一密碼,避免多平臺共用同一密碼憑證。

 

加強自我防范學(xué)習(xí):深度合成技術(shù)雖發(fā)展迅猛,但仍存在固有技術(shù)缺陷。個人應(yīng)了解并掌握相關(guān)識別技巧,如視頻中人臉面部細節(jié)不自然、背景噪音與語音失配、語調(diào)機械呆板、情感表達缺失、人物動作與語音節(jié)奏不一致等異常特征,通過自我學(xué)習(xí)與經(jīng)驗積累,提升對深度合成欺詐內(nèi)容的識別能力。

 

深度合成技術(shù)催生的新型釣魚欺詐,本質(zhì)上是技術(shù)進步與安全風(fēng)險的伴生問題。為應(yīng)對這一挑戰(zhàn),個人及企業(yè)均需充分認識到這一問題的本質(zhì),積極主動地學(xué)習(xí)相應(yīng)的防范策略,有效多維聯(lián)動,才能有效抵御來自不法分子的釣魚攻擊,在技術(shù)創(chuàng)新與安全保障之間切實維護自身的財產(chǎn)安全與信息安全。

 

文/李雪妮(公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組專家)

編輯 楊娟娟

校對 穆祥桐