深度伪造第一大案:香港某跨国公司被“克隆人”骗走2亿港元

上周日,《南华早报》的一篇报道披露,通过一场精心策划的,基于最新人工智能深度伪造技术的高端电汇欺诈骗局,黑客从一家跨国公司的香港办事处骗走了高达2亿港元(2560万美元)。

目前,香港警方正在调查此案,尚未有人被捕。

“每个人看起来都跟真的一样”

此次深度伪造骗局始于一次网络钓鱼攻击,当时受害公司香港分公司财务部的一名员工收到了一条疑似网络钓鱼的消息,据称是来自该公司驻英国的首席财务官,指示他们执行一项秘密交易。尽管该员工最初心存疑虑,但“首席财务官”和其他“同事”在一次集体视频通话会议中的出现打消了该员工的疑虑,分别向五个不同的香港银行账户进行了15笔转账,总计2亿港元。

大约一周后,该企业员工才意识到这是一个骗局,他回忆说:“每个人看起来都跟真的一样”。

据报道,黑客为该公司的首席财务官和其他相关员工的数字重建“数字克隆”版本(编者:有着与本人一致的相貌、声音),并在视频电话会议中指示香港办事处员工进行转账操作。

今天,生成式人工智能使得深度伪造取得了突飞猛进的发展,任何人都能利用唾手可得的工具创建令人信服的虚假视频或音频录音,这给个人和企业辨别真假内容带来了巨大挑战。

据《南华早报》报道,如此重大的深度伪造金融诈骗事件在香港尚属首例,不但涉及巨额金额,而且攻击者成功利用深度伪造技术模拟多人视频会议,所有参与者(除受害人外)都是深度伪造的“数字人”(基于真人图像和语音)。

企业高管留神“数字痕迹”

显然,诈骗者有针对性地采集了该企业高管的公开视频和音频片段合成令人信服的“数字人”,且在复杂的诈骗场景中没有露出破绽,这为所有企业敲响了警钟。根据Onfido的最新研究,2023年深度伪造欺诈暴增了3000%。

GoUpSec企业安全意识高级顾问Samsee表示,随着生成式人工智能技术的突飞猛进和暗网数据泄漏泛滥,预计2024年基于视频、语音克隆技术的“数字克隆人”高级深度伪造攻击将呈现爆炸式增长,企业员工,尤其是管理层需要加强个人数字痕迹管理。

香港警方代理高级警司陈顺清强调,这起骗局很新颖,称这是香港首例在多人视频会议环境下受骗的案件。他指出,骗子的策略是除了要求受害者进行自我介绍外,不直接与受害者沟通(由虚拟首席财务官发号指令),这使得骗局更具说服力。

香港警方还公布了在视频通话中验证个人真实性的简单技巧,例如要求对方移动头部或回答确认其身份的特别问题,尤其是在涉及汇款请求时。

此外,在企业环境中防范深度造假诈骗的另一个解决方案是为每位员工配备加密密钥,通过在面对面会议上签署公钥来建立信任。随后,在远程通信中,这些签名密钥可用于对会议中的各方进行身份验证。

参考链接:

https://www.scmp.com/news/hong-kong/law-and-crime/article/3250851/everyone-looked-real-multinational-firms-hong-kong-office-loses-hk200-million-after-scammers-stage

前一篇企业防范BEC攻击的八种关键方法
后一篇第三方风险管理的六个最佳实践