我用AI聲音生成器騙過銀行
只需一個電話,AI聲音就能搞掂
我雖然係科技記者,但唔算係技術高手。平時電子產品一壞,我就係關機再開機,最後就放棄。但即使係我,都輕易用AI深度偽造技術,成功騙過咗自己嘅銀行。
生成式人工智能令模仿人聲變得更加簡單。過去幾年,政治人物、名人甚至已故教宗嘅深度偽造影片喺社交媒體上散播假消息。最近,黑客開始深度偽造一般人嘅聲音,只需幾秒鐘嘅語音樣本,可能係Instagram或TikTok嘅視頻,再加上一啲電話號碼或者借記卡號碼等個人資料(可能喺暗網數據洩露中搵到),就能冒充你。
我為咗寫呢篇報道,下載咗幾星期前一個電台訪問嘅錄音,訂閱咗一個幾美元嘅聲音生成服務,訓練AI模仿我嘅聲音,然後用文字轉語音功能,打咗個電話去銀行。雖然聲音有啲機械感,但聽落幾乎同我本身嘅聲音無異。五分鐘通話中,先係自動系統,再由真人職員接聽,我嘅深偽聲音冇引起絲毫懷疑。
呢招而家愈來愈多騙徒用。佢哋利用廉價又普及嘅生成式AI工具,深度偽造聲音,入侵銀行賬戶,甚至用假身份開戶。深偽技術不斷進步,愈來愈難被發現。去年,香港一間金融公司就因為深偽技術,誤將2500萬美元匯給騙徒,因為佢哋冒充咗公司財務主管同其他員工進行視像通話。
呢單大錯誤固然嚇人,但騙徒唔一定追求一次大額收益。呢啲技術可以讓犯罪組織大規模自動化騙局,透過深偽語音詐騙大量人,套取少量錢財。德勤報告估計,喺生成式AI推動下,美國未來幾年詐騙損失有機會飆升至400億美元,遠高於2023年嘅123億美元。Accenture最近對600位銀行資安主管調查,有80%相信生成式AI正加速黑客能力,銀行反應慢過攻擊速度。
騙徒利用生成式AI,目標係大規模攻擊銀行賬戶。Reality Defender CEO Ben Colman話:「佢哋係頂尖工程師、產品經理同研究員,如果可以自動化詐騙,佢哋會用盡所有工具。」除咗偷你聲音、相片,佢哋仲可以用AI偽造文件,盜用身份,甚至建立全新假身份開戶,用嚟洗黑錢。
騙徒玩數字遊戲。就算銀行封鎖咗一個賬戶,佢哋可以轉攻另一個或另一個服務。Colman話:「攻擊者唔需要成日啱,贏一次已經好成功。」佢哋唔只針對富人,大量詐騙普通人嘅少量錢財,長遠來講更賺得多。根據FBI網絡犯罪投訴中心,2024年平均網絡騙案損失近2萬美元,超過25萬宗投訴。60歲以上人士投訴最多,損失最大,但20歲以下人士合計損失高達2250萬美元。「每個人都係目標。」
Colman話,有啲銀行近年試圖提前應對深偽問題,但有啲未覺得嚴重。現時愈來愈多銀行用軟件保護客戶。2024年一項跨行業調查發現,超過10%企業曾遇過或成功抵擋深偽詐騙,但過半數員工未受過識別或應對培訓。
我聯絡咗美國幾間最大銀行問佢哋點防止深偽詐騙,有啲無回應,花旗拒絕透露防詐技術細節。摩根大通消費銀行負責人Darius Kingsley表示,銀行正面對迅速演變技術帶來嘅挑戰,承諾不斷提升安全措施,投資尖端解決方案保護客戶。
識別深偽非常困難。OpenAI 2023年推出嘅AI寫作檢測器因準確率低,短時間內就停用。影像、視頻、音頻生成技術過去兩年迅速進步,如果你記得兩年前AI模擬Will Smith食意粉嘅荒謬畫面,會驚訝OpenAI最新文字轉視頻生成器Sora嘅效果。生成式AI喺掩飾痕跡方面進步巨大,騙徒更得心應手。
我用深偽聲音同銀行講述借記卡號碼和社會安全號碼最後四位,呢啲係我手頭資料,但現今犯罪分子喺暗網輕鬆買到類似個人資料,因為好多數據遭洩露。我用禮貌語句要求銀行更新電郵地址、改PIN碼,反覆催促自動系統接通真人,對話時表現得友善:「我今日好好,你呢?」我又請求多啲時間搵手機確認碼,最後感謝職員幫忙。
當局開始警告深偽技術易用且愈來愈普及。去年11月,美國金融犯罪執法網發布警示,提醒金融機構注意生成式AI、深偽和身份詐騙風險。聯儲局紐約分行4月演講中,聯儲局理事Michael Barr指技術可能大幅加速身份詐騙,過去三年深偽攻擊增長20倍。他建議出台新政策,提高攻擊成本,減輕銀行負擔。現時詐騙組織低風險低成本發動大規模攻擊,銀行難以逐一阻止。
唔止銀行接到怪電話,騙徒亦會用深偽聲音打電話畀你,冒充親友或服務機構。面對可疑要求,我哋可以採取措施。花旗詐騙政策及創新主管Ashwin Raghu話:「呢啲騙局係老方法嘅新變種,靠突如其來嘅聯絡和緊急感,騙人交出錢財。」佢建議對緊急和意外來電保持懷疑,即使係熟人聲音都要驗證。最好用另一種方式聯絡該人,或掛線後用卡背電話號碼回撥銀行核實。
雖然騙徒可以用AI挖掘好多你的數據,但有啲秘密只有你同另一個人知。去年夏天,法拉利一名高管成功識破騙徒冒充CEO聲音,因為佢問騙徒幾日前推薦過嘅書名係咩。限制社交媒體分享內容同對象,使用雙重認證和密碼管理工具,能減低成為目標風險,但冇方法100%避免被騙。
Barr提出政策措施,包括國際間統一網絡犯罪法規、加強執法機關合作,令犯罪集團更難隱藏行動,並加重利用生成式AI詐騙嘅懲罰。但呢啲唔係短期內可以跟上快速變化技術嘅靈丹妙藥。
生成式AI工具普及,有啲係免費App,有啲只係幾美元。但問題唔係孤狼黑客,而係大型有組織犯罪集團,佢哋能大規模自動化攻擊,試千次成功一次,就會持續針對同一機構,直到銀行察覺並修補漏洞。Alloy副總裁Jason Ioannides話:「佢哋搵到弱點就攻擊。」銀行要保持靈活,採用多層防禦策略,因應不斷演變嘅詐騙手法快速反應。「你永遠阻止唔到100%詐騙,但要令自己唔好成為壞人首選目標。」
最後,我未能完全攻破銀行系統。試過電話改PIN和電郵地址,都被要求去ATM或網上操作。雖然聽到賬戶餘額,有啲準備同技術,可能能轉錢。每間銀行規則不同,有啲可能電話改資料更易畀騙徒入侵。銀行有冇察覺我用生成聲音,我唔肯定,但知道有啲保障措施,令我夜晚瞓得安心啲。
我是Amanda Hoover,Business Insider資深科技記者,專注報道大型科技公司同趨勢。
—
評論與啟示
呢篇報道揭示咗生成式AI深偽技術喺金融詐騙中嘅嚴重威脅,令人警醒。AI技術本應造福社會,但當黑客利用佢大規模模仿真人聲音,銀行同用戶嘅安全防線被極大挑戰。即使係科技記者都能輕易做到,反映普通市民防範能力有限。
未來銀行業務必加強多層次驗證機制,例如結合生物識別、行為分析,以及引入AI反欺詐工具。同時,普及員工和公眾嘅安全意識教育,教導大家如何識破深偽詐騙,尤其係面對聲音相似嘅緊急來電要保持懷疑。
法規與跨境合作亦不可忽視。深偽詐騙往往涉及跨國犯罪,單一國家難以有效打擊。國際社會應加強監管標準和執法協作,對犯罪集團施加更大壓力。
最後,個人私隱保護更顯重要。過度分享社交媒體資料,令黑客更容易取得聲音樣本及個人資訊。用戶應審慎管理個人資料,並善用雙重認證等安全工具。
生成式AI技術正以前所未有嘅速度演變,社會各界必須同步提升防範能力,否則未來金融詐騙將更難防範,損失更為慘重。這是一場技術與安全的賽跑,無人可置身事外。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
