銀行業未準備好應對AI深度偽造技術帶來的威脅
2024年初,一間總部設於香港的跨國公司遭騙走2,500萬美元,原因是一名員工誤以為自己正在與公司財務總監及其他同事進行視像通話,實際上除受害者外,其他所有參與者均為AI生成的深度偽造影像。這並非電影情節,而是真實發生的事件。
金融業正步入一個新騙局時代,人工智能不再只是提升效率的工具,更成為犯罪的利器。隨著生成式AI技術日益成熟且普及,針對銀行及其客戶的詐騙手法亦愈趨複雜。深度偽造技術能高度模仿聲音、面貌甚至整個身份,成為詐騙生態系中最新的威脅點。若銀行未積極應對,將極易被突襲。
兩年前,深度偽造多用於惡搞短片或明星模仿,現時卻被用來偽造客戶身份、製作假合規視頻及冒充高層指示匯款。在一個以信任和驗證為核心的行業,這種情況極具危險性。騙徒已不需入侵系統,只需令銀行職員相信該指示來自熟悉人士。
深度偽造不同於釣魚電郵或社交工程電話,它直接利用人類最信任的感官——視覺和聽覺。人腦天生相信眼見耳聞,當這種感官被欺騙,傳統的反詐騙機制及直覺判斷便可能失效。
銀行在保護數碼基建方面已有顯著進展,如多重身份驗證、生物識別及行為分析成為標準。但深度偽造詐騙攻擊的最大漏洞是人。當員工看到螢幕上熟悉的高層面孔,聽到熟悉聲音,並收到合理指示時,往往傾向配合而非質疑。
此外,許多內部流程仍依賴人手核實,特別是在企業銀行及財富管理等需要建立關係的領域,這正是深度偽造詐騙最易得逞的環境。
儘管風險增加,針對AI合成媒體的監管仍零散且滯後。證券交易委員會(SEC)及金融犯罪執法網絡(Fincen)雖發表了AI風險及網絡安全指引,但針對深度偽造的具體規範仍然欠缺,令銀行只能自行摸索防禦措施。
過去我們曾見證類似遲緩反應:2010年代初,金融界低估社交工程及商業電郵詐騙的威脅,直到損失數十億美元後才全面回應。這是不能重蹈覆轍的教訓。
銀行業不應只被動應對技術威脅,更要在治理、培訓及合作上主動轉變。高風險交易不應僅靠視像及音頻確認,應引入多渠道驗證,如透過不同媒介的第二次確認,或利用區塊鏈技術保障交易流程,避免被視聽資料冒充。
反詐騙團隊應利用機械學習偵測金融行為異常,亦要用AI識別合成媒體特徵,如像素異常、聲音克隆痕跡或不自然面部表情。員工需接受訓練,學會像對待可疑電郵般質疑視像通話及語音指示。驗證安全應優先於便利,尤其是對不尋常或高額交易。詐騙策略變化迅速,銀行宜與監管機構、電訊商及網絡安全公司協作,共享威脅模式與偵測技術。當一家機構率先發現深度偽造,整個行業便能更快做好防備。
防範深度偽造詐騙不僅是技術升級,更是心態轉變。金融業長期重視效率、速度及客戶服務,但在生成式AI時代,懷疑精神必須成為核心能力。適度的懷疑或許是抵禦史上最逼真謊言的最佳武器。
若騙徒能夠足夠逼真地冒充CEO批准匯款,那麼每宗交易及每個基於信任的流程都將受到質疑。視覺確認的幻象已不再足夠。銀行必須適應「眼見不一定為實」的新世界。
下一宗十億美元級別的銀行詐騙,可能不是惡意軟件所為,而是以Zoom上的「老闆」身份出現。
——BNP Paribas助理副總裁Shivani Deodhar撰文
—
評論及啟示
這篇文章深刻揭示了銀行業面對AI深度偽造技術的嚴峻挑戰,並呼籲業界及監管機構及早正視及加強防範。金融業作為極度依賴信任的行業,過去的詐騙防範多集中於技術層面,如多重身份驗證、行為分析等,但深度偽造帶來的視聽欺騙,直接攻擊人類最本能的信任感,挑戰了傳統防詐騙的底線。
文章提醒我們,銀行不應只靠科技升級,更要在組織文化及員工培訓上建立對新型威脅的警覺性。尤其是高風險交易的多渠道驗證,能有效減低單一途徑被突破的風險。此外,跨行業合作共享威脅情報,是提高整體防禦能力的關鍵。
從更廣闊角度看,這是AI技術雙刃劍效應的典型案例:一方面促進效率和創新,另一方面催生前所未有的安全風險。金融機構必須在追求數碼化及客戶體驗的同時,適時調整風控策略,將「懷疑精神」培養成企業文化的核心部分。
香港作為國際金融中心,同樣面臨類似威脅。監管機構及銀行應積極推動本地相關政策和技術創新,提升員工對AI詐騙的識別能力,並與國際同行保持信息共享,避免成為下個受害者。最終,只有技術與人文智慧並重,才能在這場AI與詐騙的博弈中立於不敗之地。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
