【AI聲演】FBI安全警報 網絡罪犯假扮上司參與視像會議呃錢
美國 FBI 上星期發出新警報,指網絡罪犯利用視像會議工具如 Zoom、Microsoft Team 等進行金錢詐騙的個案有上升趨勢,罪犯不單只會利用相片假扮公司高層,甚至會利用 deepfake 技術假扮高層的聲音,用各種藉口指示員工轉帳,防不勝防。
新冠病毒改變了全球企業的運作模式,企業因允許員工在家工作,因此工作期間便須使用各種網上協作工具,以及以視像會議取代日常開會。根據 Zoom 及 Microsoft Team 的公布,疫情下令雙方的用家數量激增數千萬。網絡罪犯亦看準這個機會,利用這些視像會議工具竊聽情報,開設虛假的會議或混入會議中,由於參與人數眾多,公司方面未必能即時識別有外人混合,特別是如罪犯盜用了員工的公司帳戶就更難防。
而 FBI 的警報就揭示了網絡罪犯的新趨勢,官方指罪犯結合了商業詐騙電郵 (BEC) 技術,令員工更易上當將金錢存入罪犯的銀行帳戶中。BEC 指的是罪犯透過各種手法預先摸清目標企業的員工架構及商業夥伴電郵往來的內容,了解公司的日常商業運作,在真正攻擊時便會假冒上司,就著某宗交易要求員工將金錢改存入其他帳戶,整個攻擊過程必須長時間部署,才能令員工更易上當。
現時罪犯便將 BEC 攻擊引入視像會議中,他們會開設一個視像會議,邀請多個員工參加,期間對方或會以上司的頭像假扮正在參與會議,或以鏡頭或收音咪損壞為藉口而只以文字訊息開會,更先進的手法是罪犯在收集了上司的語音樣本後,再交由 deepfake 服務供應商製作聲檔,令員工誤以為真的是由上司發聲。無論以哪種手段開會,罪犯最終的目的亦是金錢詐騙,因此 FBI 方面呼籲企業必須提高員工警覺性,同時亦要加強員工帳戶的安全性,例如引入 2FA 或 MFA 等多重因素驗證,才能避免被罪犯暗中收集公司資料的風險。
