最近,网络犯罪分子使用“深度伪造”视频欺骗一家跨国公司的香港员工汇出2560万美元。根据一次视频会议中的多个深度伪造,员工们相信他们位于英国的首席财务官要求转移资金。据报道,警方已逮捕了与此诈骗案有关的六人。这种使用人工智能技术的行为是危险和操纵性的。如果没有适当的指导方针和框架,更多的组织将面临像深度伪造这样的人工智能诈骗的风险。
深度伪造101及其不断增加的威胁
深度伪造是一种数字改变媒体的形式,包括照片、视频和音频剪辑,看起来像是真实的人。它们是通过对一个人的真实剪辑进行AI系统训练,然后使用该AI系统生成逼真(但不真实)的新媒体来创建的。深度伪造的使用越来越普遍。香港案件是最近几周一系列引人注目的深度伪造事件中的最新案例。泰勒·斯威夫特的假裸照在社交媒体上流传,巴基斯坦一名被监禁的选举候选人的政党使用了他的深度伪造视频发表演讲,一名名为“拜登总统”的深度伪造“声音克隆”致电初选选民告诉他们不要投票。
网络犯罪分子使用深度伪造的规模和复杂性也在不断增加。在银行业,网络犯罪分子现在试图通过使用人的声音克隆来冒充用户并获取他们的资金来克服声音认证。银行已经通过提高识别深度伪造使用的能力和增加认证要求来应对这种情况。
网络犯罪分子还利用深度伪造对个人进行“鱼叉式网络钓鱼”攻击。一种常见的方法是通过使用声音克隆来欺骗一个人的家人和朋友,在电话中冒充某人并要求将资金转账到第三方账户。去年,麦克菲的一项调查发现,70%的受访者不确定自己能否区分人和他们的声音克隆,近一半的受访者表示,如果打电话的家人或朋友声称被抢劫或发生车祸,他们会回应要求转账。
网络犯罪分子还冒充税务机关、银行、医疗保健提供者和保险公司,试图获取财务和个人信息。
今年2月,美国联邦通信委员会裁定,使用人工智能生成的人声打电话是非法的,除非事先得到被叫方的明确同意。美国联邦贸易委员会还最终制定了一项规则,禁止人工智能冒充政府机构和企业,并提出了一项类似的规则,禁止人工智能冒充个人。这是世界各地为打击深度伪造而制定的法律和监管措施日益增多的一个例子。
保护自己免受深度伪造的威胁
为了保护员工和品牌声誉免受深度伪造的威胁,领导者应遵循以下步骤:
- 持续教育员工,既要教育他们有关AI-enabled诈骗的知识,也要教育他们有关新的AI能力及其风险的知识。
- 升级钓鱼指导,包括深度伪造威胁。许多公司已经教育员工有关钓鱼邮件,并在接收到可疑请求的未经请求的电子邮件时敦促谨慎。这样的钓鱼指导应包括AI深度伪造诈骗,并指出它可能不仅使用文本和电子邮件,还可能使用视频、图像和音频。
- 适当增加或校准员工、业务伙伴和客户的认证。例如,根据决策或交易的敏感性和风险,使用多种认证方式。
- 考虑深度伪造对公司资产的影响,如标志、广告人物和广告活动。这些公司资产可以很容易地使用深度伪造进行复制,并通过社交媒体和其他互联网渠道迅速传播。考虑如何减轻这些风险并教育利益相关者。
- 预计会有更多和更好的深度伪造,鉴于生成式人工智能的改进速度、2024年正在进行的大选进程的数量以及深度伪造在人与人之间以及跨国界传播的便利性。
尽管深度伪造是一个网络安全问题,但公司也应将其视为复杂和新兴的现象,具有更广泛的影响。积极和深思熟虑地应对深度伪造可以帮助教育利益相关者,并确保打击深度伪造的措施是负责任、相称和适当的。
(照片由Markus Spiske提供)
另请参阅:英国和美国签署协议开发AI安全测试
想要从行业领导者那里了解更多关于人工智能和大数据的知识吗?请查看在阿姆斯特丹、加利福尼亚和伦敦举办的AI & Big Data Expo。这个综合性的活动与其他领先的活动同时举办,包括BlockX、Digital Transformation Week和Cyber Security & Cloud Expo。
探索由TechForge提供的其他即将举行的企业技术活动和网络研讨会这里。
