Deepfake深偽威脅超乎想像 企業應如何自救?

Deepfake深偽威脅超乎想像 企業應如何自救?

最近本地發生了多宗網絡攻擊事件，令不少企業意識到網絡安全在業務營運中的重要性，紛紛採取不同的安全方案來抵禦黑客的入侵。但道高一尺，魔高一丈，犯罪集團除了使用傳統手段直接攻擊外，近年來他們亦開始利用深度偽造（Deepfake）技術進行詐騙。

本年2月，某跨國公司的財務部職員受騙參加了假冒「英國總公司」財務總監要求的視像會議，實際上參與會議的所有人均利用Deepfake假冒的，員工被指示轉賬近2 億港元。而最近，再有罪犯同樣利用Deepfake技術冒充跨國公司高層，透過視像會議指示員工轉賬近400萬港元。這些事件反映Deepfake越催成熟，未來可能出現更多受害者。企業應該如何應對？本文將深入了解Deepfake技術，助力企業防範於未然。

什麼是深度偽造 (Deepfake)？

「深度偽造（Deepfake）」是「深度學習（Deep learning）」和「偽造（Fake）」的組合詞，是利用人工智能（AI）技術，生成高度逼真的虛假影像和語音，令人難以辨別真偽。Deepfake最常見的應用是AI換臉，將一個人的面部特徵精確地替換到另一個人的臉上，或者模仿某人的聲音來生成虛假的音頻錄音。

Deepfake利用深度學習，以理解和模仿人類的面部表情、語音特徵和動作，配合AI訓練大量數據，令生成的影像和語音真實性大大提高。在近年AI急速發展下，許多深度偽造工具和資源已經變得更加易於獲得。例如，一些開源的Deepfake軟件和在線平台讓普通用戶亦能輕易創造高質量的Deepfake內容，大大降低了進行此類欺詐行為的技術門檻，意味著偽造的內容將會越來越難以被識別出來。AI換臉例子：

資料來源: HKCERT

Deepfake越催成熟 構網絡安全新威脅

犯罪集團利用Deepfake詐騙的手法多樣化且越來越精巧，尤其是在社會工程學（Social Engineering）方面。以下是幾種常見的方式：

換臉詐騙/商務電子郵件詐騙（Business Email Compromise）

犯罪集團以Deepfake技術模仿企業管理層（如 CEO 或 CFO）的語音和面容，透過發送偽造的視頻、進行視像會議或電話交流等方式，欺騙目標公司的員工。他們利用員工對公司管理層的信任，詐騙員工進行緊急轉賬或透露敏感信息，從而導致財務損失或數據洩漏的風險。

誹謗攻擊

犯罪集團可以創建虛假的視頻或語音，損害企業或其管理層的聲譽，例如製作某位管理層發表不當言論的偽造視頻，並在社交媒體上發佈，不但令企業形象受損，嚴重可導致其股價下跌和流失客戶。

身份盜用

利用Deepfake技術偽造的視頻或語音能夠繞過企業的安全系統身份驗證，使罪犯成功冒充合法用戶，進而獲取敏感信息或進行其他非法活動。

多層防禦策略成致勝之道 大大減低Deepfake引起的損失

由於Deepfake的迅速發展，一些企業及員工可能對Deepfake缺乏充分的認識，令企業容易成為受害者。因此，企業需要採取多層防禦措施，應對新興的威脅。

在技術層面，企業可採用Deepfake檢測工具，識別影像和語音中的細微差別，辨識偽造內容。同時，亦可部署多重身份驗證（MFA）系統，增加身份驗證的難度。而針對商務電子郵件詐騙，企業可採用可靠的電郵安全方案，防範任何電郵的安全威脅。

另一方面，提高員工的安全意識是重中之中。企業可定期安排員工培訓，讓他們了解Deepfake的風險及其辨別方法。除此之外，亦可透過模擬社會工程攻擊，讓員工在模擬情境中學習如何應對。加上設立報告機制及應急方案，在員工發現可疑內容時能夠及時報告，讓企業可迅速採取應對措施，減少損失。

通過技術手段、人員培訓和制度建設，企業可以有效地抵禦Deepfake帶來的威脅，保護自身的安全和利益。