隨著2023年生成式AI的興起,駭客利用這類新技術升級網路攻擊,成為資安界與社會關注焦點。例如,近期Google發布2024年網路安全預測報告指出,隨著FraudGPT和WormGPT等惡意生成式AI興起,將使網釣內容更逼真,減少過去語法錯誤或是缺乏文化背景的問題。AI深度學習偽造(Deepfake)的照片與影片將更普遍,並延伸至主流新聞平臺,降低公共資訊的可信度,企業、政府將更難與民眾交流。

事實上,早在2019年,就出現Deepfake與AI語音詐騙門檻降低的現象,如今在AI技術突飛猛進的浪潮之下,國際間已有AI詐騙實例,資安界呼籲要特別關注這樣的問題。

雖然臺灣目前較少聽聞AI詐騙案例,但我們必須意識到,這類技術已經變得相當容易應用,不僅政府、金融、執法單位,以及跨國合作要更積極,民眾自身的防詐觀念也必須轉變,不能認為事不關己。

過去,iThome曾報導相當多詐騙與社交工程的網路攻擊我個人也整理生活中的資安意識觀念,卻還是看到社會上很多人缺乏基本觀念,導致已呼籲多年的詐騙手法,至今依然可以一再奏效。

這也讓我重新思考:為何自己能夠識別詐騙問題,有些人卻不容易識別詐騙?最近,在整理基本資安意識與防詐簡報的過程中,找到一些答案。

對於防詐意識不足的民眾,我們認為,政府與企業在教育宣導上,應該重視兩大層面:(一)教育大眾了解網路文化,才能懂得基本網路社交風險;(二)促進大眾認識並深入了解生活中常見的詐騙活動情資,重視網域名稱的認知教育。

第一點我認為相當重要,卻鮮少被提及。為了幫助大家了解網路文化,我想以20年前玩線上遊戲的經驗來舉例說明。早年上網的人少,玩家多半都知道遊戲中接觸的人,多數都是不認識的網友,所以大家都具有網路社交風險的概念,對於不認識的人,不會輕信對方的言詞。

而且,當時大家普遍能夠體認到:網路上的身分使用暱稱是常態,設立多個角色分身、不同帳號分身是常態,加上網路遊戲交易詐騙樣態也多,在這樣的網路文化薰陶與經驗之下,多半已培養警覺,設想網路背後另一方可能不是原本接觸的那個人。

但現在身處於全民網路時代,所有人都在上網,當大家使用社群平臺、即時通訊時,對於網路社交風險概念反而缺乏。

例如,今年很多人都看到類似假冒知名人物的網路廣告詐騙新聞。例如,一般民眾使用臉書時,看到名稱是公眾人物並放上他或她的照片,難道就真的代表本人嗎?因此,這需要從根本認知上去改變。

同時,現代人雖然懂得享受社群平臺的便利,但從比例來看,多數人可能都對不同線上服務的互動方式不夠瞭解,像是不會積極辨識特定臉書帳號是否為本人,如檢視過去貼文、識別個人檔案掛上藍勾勾的臉書官方認證標示等,有些人則是對臉書動態牆認知很有限,不清楚當中呈現的內容涵蓋朋友、追蹤的粉絲專頁所發布的動態消息之餘,也有自動推薦的網站內容與線上廣告等。

再舉一例,如果我們手機收到簡訊自稱是某某銀行或水公司,這些真的是對方發送的訊息嗎?若你此時產生疑慮,其實就會呼應上述我提到的第二點建議,因為有可能你早已知道方面的威脅情資,或是很早就認知到有「來電號碼」與「郵件寄件者」的偽冒與竄改情況,接著就會知道要先查證,或是向朋友確認這是否為詐騙,並能理解透過其他管道驗證的必要。例如,重新尋找與確認對方的聯絡方式,再打電話與其驗證是否真有其事。

而且,不只要知道詐騙很多的威脅態勢,同時你應該要瞭解一些細節與重點,以常見的解除分期詐騙為例,在警方宣導、社會新聞或網友經驗中已有很多情資,包括:詐騙者知道你的訂單記錄與個資已是常態,對方會雙重假冒客服及銀行人員,ATM不提供取消分期功能,有了這些背景狀況的瞭解,民眾才更會理解第二管道確認的重要性。

當然,假冒名義的話術百百種,以釣魚簡訊(或釣魚郵件)內容來看,如何識破釣魚網址更是一大關鍵。我認為,國內最缺乏的上網安全教育工作,就是「網域識別」及「知道查證」。為了避免這樣的問題,我們至少要試著讓社會大眾多了解相關資訊,懂得「網域」是在整個網址的其中一個部分。

大家可以想像,網路世界的門牌號碼就是要認清「網域」,一旦走錯,就不會走到原本要到的地方,很多釣魚網站只是大門的布置很像,實際門牌號碼根本不同,但如果我們充分具備識別真偽與查證的能力,至少在點擊網址層面就不會上當。

另外,如果你懂得更多,將知道網路安全風險相當複雜,像是DNS被惡意軟體竄改,導致網址被解析到不同IP位址,這會是不同層面的問題。

專欄作者

熱門新聞

Advertisement