隨著2023年生成式AI的興起,駭客利用這類新技術升級網路攻擊,成為資安界與社會關注焦點。例如,近期Google發布2024年網路安全預測報告指出,隨著FraudGPT和WormGPT等惡意生成式AI興起,將使網釣內容更逼真,減少過去語法錯誤或是缺乏文化背景的問題。AI深度學習偽造(Deepfake)的照片與影片將更普遍,並延伸至主流新聞平臺,降低公共資訊的可信度,企業、政府將更難與民眾交流。
事實上,早在2019年,就出現Deepfake與AI語音詐騙門檻降低的現象,如今在AI技術突飛猛進的浪潮之下,國際間已有AI詐騙實例,資安界呼籲要特別關注這樣的問題。
雖然臺灣目前較少聽聞AI詐騙案例,但我們必須意識到,這類技術已經變得相當容易應用,不僅政府、金融、執法單位,以及跨國合作要更積極,民眾自身的防詐觀念也必須轉變,不能認為事不關己。
過去,iThome曾報導相當多詐騙與社交工程的網路攻擊,我個人也整理生活中的資安意識觀念,卻還是看到社會上很多人缺乏基本觀念,導致已呼籲多年的詐騙手法,至今依然可以一再奏效。
這也讓我重新思考:為何自己能夠識別詐騙問題,有些人卻不容易識別詐騙?最近,在整理基本資安意識與防詐簡報的過程中,找到一些答案。
對於防詐意識不足的民眾,我們認為,政府與企業在教育宣導上,應該重視兩大層面:(一)教育大眾了解網路文化,才能懂得基本網路社交風險;(二)促進大眾認識並深入了解生活中常見的詐騙活動情資,重視網域名稱的認知教育。
第一點我認為相當重要,卻鮮少被提及。為了幫助大家了解網路文化,我想以20年前玩線上遊戲的經驗來舉例說明。早年上網的人少,玩家多半都知道遊戲中接觸的人,多數都是不認識的網友,所以大家都具有網路社交風險的概念,對於不認識的人,不會輕信對方的言詞。
而且,當時大家普遍能夠體認到:網路上的身分使用暱稱是常態,設立多個角色分身、不同帳號分身是常態,加上網路遊戲交易詐騙樣態也多,在這樣的網路文化薰陶與經驗之下,多半已培養警覺,設想網路背後另一方可能不是原本接觸的那個人。
但現在身處於全民網路時代,所有人都在上網,當大家使用社群平臺、即時通訊時,對於網路社交風險概念反而缺乏。
例如,今年很多人都看到類似假冒知名人物的網路廣告詐騙新聞。例如,一般民眾使用臉書時,看到名稱是公眾人物並放上他或她的照片,難道就真的代表本人嗎?因此,這需要從根本認知上去改變。
同時,現代人雖然懂得享受社群平臺的便利,但從比例來看,多數人可能都對不同線上服務的互動方式不夠瞭解,像是不會積極辨識特定臉書帳號是否為本人,如檢視過去貼文、識別個人檔案掛上藍勾勾的臉書官方認證標示等,有些人則是對臉書動態牆認知很有限,不清楚當中呈現的內容涵蓋朋友、追蹤的粉絲專頁所發布的動態消息之餘,也有自動推薦的網站內容與線上廣告等。
再舉一例,如果我們手機收到簡訊自稱是某某銀行或水公司,這些真的是對方發送的訊息嗎?若你此時產生疑慮,其實就會呼應上述我提到的第二點建議,因為有可能你早已知道方面的威脅情資,或是很早就認知到有「來電號碼」與「郵件寄件者」的偽冒與竄改情況,接著就會知道要先查證,或是向朋友確認這是否為詐騙,並能理解透過其他管道驗證的必要。例如,重新尋找與確認對方的聯絡方式,再打電話與其驗證是否真有其事。
而且,不只要知道詐騙很多的威脅態勢,同時你應該要瞭解一些細節與重點,以常見的解除分期詐騙為例,在警方宣導、社會新聞或網友經驗中已有很多情資,包括:詐騙者知道你的訂單記錄與個資已是常態,對方會雙重假冒客服及銀行人員,ATM不提供取消分期功能,有了這些背景狀況的瞭解,民眾才更會理解第二管道確認的重要性。
當然,假冒名義的話術百百種,以釣魚簡訊(或釣魚郵件)內容來看,如何識破釣魚網址更是一大關鍵。我認為,國內最缺乏的上網安全教育工作,就是「網域識別」及「知道查證」。為了避免這樣的問題,我們至少要試著讓社會大眾多了解相關資訊,懂得「網域」是在整個網址的其中一個部分。
大家可以想像,網路世界的門牌號碼就是要認清「網域」,一旦走錯,就不會走到原本要到的地方,很多釣魚網站只是大門的布置很像,實際門牌號碼根本不同,但如果我們充分具備識別真偽與查證的能力,至少在點擊網址層面就不會上當。
另外,如果你懂得更多,將知道網路安全風險相當複雜,像是DNS被惡意軟體竄改,導致網址被解析到不同IP位址,這會是不同層面的問題。
專欄作者
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19