最新關鍵報告熱門報導文章

焦點

AI模仿犯　資安關鍵報告

你是否想過，你眼前的主管，不是真人？你以為同事是美國人，但他其實是北韓人？在生成式AI技術問世後，這些都可能發生！當詐騙裝上了AI的翅膀，入行門檻更低、散播速度更快、更易得手。在你還沒搞懂AI前，騙子、駭客，已大量運用AI來攻擊你。今年，一家英國工程公司奧雅納（Arup）遭遇AI詐騙慘案。這家曾參與雪梨歌劇院工程結構案的公司，員工以為與集團高層開會，但事實上，對方在會議畫面中使用的是深度偽造（deepfake）技術，假主管指示真員工轉帳，讓該公司損失兩千萬英鎊，相當於新台幣八億三千萬元。美國軟體公司KnowBe4執行長斯圖．紹沃曼（Stu Sjouwerman）七月揭露，一名盜用美國人身分的北韓工程師，到職後不僅在公司內部植入惡意軟體，甚至還把薪資做為北韓非法計畫的資金來源。他能通過人資四度的線上面試被錄取，關鍵就是使用AI技術，掩蓋自己的真實樣貌。部門新同事、會議主管全是假每天230萬新威脅、勒索攻擊年增7成近來美國政府多次警告，北韓工程師正在透過遠端工作職缺，偽裝美國人身分，進入美國企業就職。美國國務院、財政部、聯邦調查局甚至聯合發布公告，要求企業注意相關風險。如今，視訊會議中的主管，未必是真的主管；你招募的新同事，也未必是你以為的同事。當輝達（Nvidia）執行長黃仁勳喊出AI推動科技業「下一個iPhone時刻」，詐騙與資安攻擊的技術也推陳出新，更上一層樓。科技沒有道德與國界，白道會鑽研AI，黑道也會，後者甚至有更強烈的學習與應用動機，這將讓企業與個人，蒙受比以往更巨大的損失。美國兩位總統候選人川普、賀錦麗，都是極常見、被深度偽造技術針對的對象，目的是變造發言，影響政治局勢。來源：取自NDTV 假身分案件年增9倍！在各媒體、社群大量曝光聲音、影像的名人，成為詐騙集團第一批偽冒對象。「所有（公開）的東西都是危險的」資安專家建議，應謹慎管理自己在社群的發文與可看到發文的對象範圍。來源：法新社數位媒體成效分析公司DoubleVerify報告顯示，單看二○二三年，生成式AI的出現，就使該年詐騙案件數年增二三％；串流平台上的詐騙廣告，更年增近六成。身分驗證平台Sumsub的調查也顯示，去年全球採用深度偽造技術的個案數量，成長為前一年的十倍。資安大廠Palo Alto Networks的最新報告則指出，現在每天都能發現二百三十萬個前一天還不存在的新型威脅。根據摩根士丹利在第二季針對全球資訊長的調查顯示，今年企業的勒索軟體攻擊，已較去年增加了七成以上。商周採訪多位業內人士均指出，詐騙數量爆炸成長，手法日新月異，都與生成式AI的興起脫不了關係。而它，不只竊取你的金錢，也竊取你的信任。你或許在社群平台看過，前總統蔡英文在國慶演說影片中，談投資理財議題；台積電創辦人張忠謀也透過影片現身說法，鼓勵觀眾投資。這樣的偽冒訊息，令台積電於七月二十一日對外發布公告，強調包含張忠謀與其夫人張淑芬，「皆沒有用個人身分經營任何公開臉書帳號或社群媒體粉絲頁、社團、社群，亦不曾參與任何投資或股票買賣相關之公開團體、刊登此類廣告、或分享投資理財經驗。請大家明鑑，不要上當。」不僅張忠謀夫婦，台積電董事長魏哲家也是詐騙集團愛冒用的名人之一。一位台積電員工透露，公司內部幾乎每天都會接到民眾的詐騙投訴。「響一聲就掛」電話恐變偷聲音工具數秒內複製你、2分鐘變語言天才「現在追這些所謂的生成式AI模型，其實比追劇還累。」信任科技公司走著瞧（Gogolook）數據與商業智慧總監高義銘用「追劇」形容當今生成式AI技術的演進速度。他拿出電腦按下影片播放鍵，畫面中的他，滔滔不絕講著德文，連講話嘴型都毫無破綻，這樣的成品，卻僅僅來自他上傳的兩分鐘講中文的影片，該AI線上工具訂閱月費還不用新台幣一千元。刑事警察局預防科科長林書立指出，警方也曾結合名人影音變造技術，透過同仁錄製影片提醒民眾相關風險。攝影者：楊文財名人影音變造是投資詐騙的常見手法，這類偽冒訊息也令台積電於七月發布公告，強調張忠謀夫婦「皆沒有用個人身分經營任何公開臉書帳號或社群媒體粉絲頁、社團、社群⋯⋯，請大家不要上當。」攝影者：楊文財把這兩分鐘的中文影片交給AI，五分鐘後，你就能講出全世界的語言了！過去，這類影片需要高成本與高階剪輯技巧，但現在這類偽造技術，已變成低成本、低門檻工具，而首批搶先大量使用的族群之一，極可能會是犯罪集團。高義銘示警，現在已有機構在研究如何在更短時間，例如數秒間，就能完整複製一個人的發音，在未來，像是響一聲就掛斷，原本被用來測試電話號碼是否活躍的電話，都可能被拿來秒速偷走你的聲音，然後複製一個你。他進一步舉例，像是大眾最常接到的銀行貸款電話行銷，有時也會跟對方往來幾句話，這也可能成為聲音盜竊的場景。刑事警察局預防科科長林書立向商周指出，如今詐騙集團手法不斷演進，一個案件中，可能一次集愛情詐騙、投資詐欺、身分偽冒等多重元素於一個受害者上。他表示，曾出現過假冒檢察官的案件，單一案件詐騙金額就超過新台幣一億元，未來加上生成式AI技術，恐怕只會讓一般大眾更防不勝防。懂「下咒語」，每個人都能當駭客3步逼你付錢！環球晶、光寶科曾遇駭「我想我們跟所有的公司都一樣，你基本上不會去付那個勒索的錢。」台灣最大的矽晶圓生產商環球晶董事長徐秀蘭於六月股東會中，除了報告營運業績外，還特別撥出時間，解釋該公司在美國廠區遇到的駭客勒索事件，並動用到美國聯邦調查局（FBI）介入調查。為了這起事件，環球晶在一週時間內，發布了三次重大訊息對外說明。不過，它並非特例。據公開資訊觀測站顯示，光是今年前七月，上市、櫃企業通報有關資安事件的數量，就達三十五件，是去年同期的三．五倍之多，包含光寶科、燦坤、東元等公司都曾提報過相關重訊。圖表製作者：陳慶徽圖表製作者：陳慶徽 Palo Alto Networks台灣區技術總監蕭松瀛分析，勒索駭客第一步會影響企業系統營運，第二步會藉由盜取的企業資料，脅迫公司付出贖金，公司若不從，則會進入第三步，向外公開所盜竊的資料，藉由三層壓力，逼迫企業付錢來賺取獲利。蕭松瀛補充，不只是勒索軟體，各式駭客病毒，在結合生成式AI技術後，開始學會如何更精準攻擊企業資安漏洞，甚至是閃躲防護偵測系統，「通常是魔（駭客）高一尺，道（資安防護）高一丈，但是（實務上）魔可能會先高一尺。」生成式AI，還降低了當駭客的門檻。「以前都要很高端的駭客，才有辦法撰寫攻擊程式，但現在你只要學會下『咒語』（指用來對AI下的指令），就有辦法拿到攻擊程式。」資安設備代理商創泓科技董事長黃健寧指出。換言之，你只要是個懂得下「咒語」的人，未來都可能直接透過口語指令，請AI替你進行資安攻擊。企業拚升級導入AI也危險！三星用ChatGPT不足一月就機密外洩甚至，企業不用等到駭客上門，光是在導入AI的過程，也可能衍生新的風險。時間回到去年四月，科技大廠三星電子才剛開放員工使用ChatGPT不足一月，就爆出數起機密外洩事件，原因就是員工將機密資訊丟給ChatGPT進行提問。資安防護公司趨勢科技台灣區總經理洪偉淦直言，將資訊提供給如ChatGPT等公開工具，等於變相將內容公諸於世，即使只將該工具限制於公司內部使用，也可能出現跨部門資訊不當存取的風險。圖表製作者：陳慶徽他舉例，當業務主管要調薪，請內部GPT提供相關細則，但GPT卻同步提供了其他部門高階主管的薪資單資訊，形成「不該看到的人，看到不該看到的東西」的情境，也是一種資訊外洩。然而，在資安的戰爭中，企業的內憂還不只如此。台灣資安原生廠商奧義智慧科技共同創辦人吳明蔚觀察，資安系統動輒數十樣的防護功能，面對快速崛起，且多樣態的資安威脅，一般企業的資安人員處於過勞與高壓的工作狀態，導致長期缺工。但這也讓企業有誘因，導入全自動化無人巡邏系統，用AI警察抓AI小偷。「我覺得資安市場有多大，AI（相關產值）自然就有多大。」吳明蔚認為。在生成式AI問世後，犯罪集團、資安業者，形成更緊張的食物鏈，彼此監視著對手，看誰有漏洞、誰跑得快、誰吃掉誰。別再心存僥倖，自以為不會碰上，因為AI可能比你更了解你的弱點，只要一疏忽，你的心血可能就變成獵物。 ...

2024.08.22

財經