最新動態

近期，網路犯罪分子利用一間跨國公司主管的「深度偽造」影片，說服了該公司位於香港的員工，匯出了2560萬美元。根據一個多方影像會議的深度偽造影片，員工誤以為他們的英國財務總監已要求匯款。警方據報已逮捕6人與此詐騙案有關。這種運用人工智慧技術的做法，既危險又具操縱性。若未制定適當的準則和框架，更多組織可能會成為深度偽造等AI詐騙的受害者。

深度偽造101及其不斷升高的威脅
深度偽造是一種數位化的媒體改編手法，包括照片、影片和音檔片段，看似真實地呈現某人。它們是透過訓練一個AI系統，運用真實影片片段中的某人所建立，進而產生逼真(卻是虛假的)的全新媒體。深度偽造的使用越來越普遍。這宗香港案件，是近期一系列高知名度深度偽造事件中最新的一起。在社交媒體上，出現了惡俗版泰勒·斯威夫特(Taylor Swift)的深度偽造影像；巴基斯坦一名被囚禁的選舉候選人政黨，則使用他的深度偽造影片發表演說；此外，還出現了一則深度偽造「聲音複製版」的拜登總統，撥打給主要選民，要求他們不要投票。

由網路罪犯使用深度偽造的案例，在規模和精密度上也在不斷增加。在銀行業，罪犯現正嘗試以聲音複製技術，模仿用戶的聲音，突破語音認證，進而取得他們的資金。銀行已因應，提高識別深度偽造的技術，並加強身份驗證要求。

網路罪犯也針對個人發動「魚叉式網路釣魚」(spear phishing)攻擊，運用深度偽造影片。一種常見方法，是利用聲音複製術，假扮家人或朋友，在電話中欺騙他人，要求他們將款項轉帳至第三方帳戶。邁克菲公司(McAfee)去年的一項調查發現，70%的受訪者無法確定他們是否能分辨出本人和聲音複製版的差異，而近半的受訪者，會應付聲稱遭搶劫或出車禍的家人或朋友的資金要求。

網路罪犯也假扮稅務機關、銀行、醫療機構和保險公司，試圖獲取財務和個人資訊。

今年2月，美國聯邦通訊委員會裁定，除非事先獲得被稱呼方明確同意，否則使用AI生成的人聲進行通話是非法的。美國聯邦貿易委員會也最終制定了一項規則，禁止AI冒充政府組織和企業，並提議制定類似的規則，禁止AI冒充個人。這些都增加了全球在打擊深度偽造方面的法律和監管措施。

保護員工和品牌聲譽免受深度偽造的侵害
為了保護員工和品牌聲譽免受深度偽造的影響，領導者應遵循以下步驟:

1. 持續不斷地教育員工，既要了解AI詐騙的情況，也要了解AI能力的新發展及其風險。

2. 升級網路釣魚指引，納入深度偽造的威脅。許多公司已教育員工小心收到可疑的電子郵件，呼籲員工謹慎對待非要求性的電子郵件請求。這類網路釣魚指引，應該包含AI深度偽造詐騙，並指出它可能使用文本、電子郵件，以及影片、圖像和音檔。

3. 適當提升或調整對員工、業務夥伴和客戶的身份驗證。例如，根據決策或交易的敏感性和風險，使用多重身份驗證模式。

4. 考慮深度偽造對公司資產的影響(如商標、廣告角色和廣告活動)。這些公司資產很容易被用作深度偽造，並迅速透過社交媒體和其他網路渠道傳播。考慮公司將如何降低這些風險，並對相關利益相關方進行教育。

5. 預期會出現更多且更增強的深度偽造，因為生成性AI的進步速度、2024年即將進行的多項重要選舉進程，以及深度偽造在人與人之間以及跨越邊界傳播的便利性。

雖然深度偽造是一個網路安全問題，但公司也應將其視為一個複雜和新興的現象，具有更廣泛的後果。採取主動和周到的方式來應對深度偽造，可以教育利益相關方，並確保打擊深度偽造的措施是負責任、適度和合適的。