「爸,我刚发生车祸了!可以先转一笔钱给我吗?」AI 合成人声,已带来前所未见的资安风险
【TechOrange 编辑部导读】「爸,我刚发生车祸了!需要一笔钱……」电话那头的声音,无论是语气还是声调,听起来真的很像你儿子,几乎没有任何破绽。但谁能想到,将人声模仿得维妙维肖的,竟然会是 AI 语音合成技术。
在国外,早已有多起诈骗案例发生。犯罪份子不是利用它模仿受害者家属的声音来进行诈骗,否则就是模仿老板,让员工把公司机密交出去。
当 AI 进步的速度越来越快,过往我们认为「不可能是假的吧!」、「这个机制绝对安全」,这些旧有思维都将被颠覆。而无论是企业或个人,绝对要对此提高警觉。
语音生物辨识(voice biometrics)已不再安全!无论是语音线上购物,或要通过银行的电话语音验证,当 AI 工具越来越聪明,前所未见的资安风险正在产生。
加拿大跨国媒体 VICE 记者实测,成功透过 AI 合成虚拟声音「骇」进自己的银行帐户,使用的还是市面上现有的免费 AI 工具;而同样在加拿大,一对夫妻被骗走 2.1 万美元——他们以为电话里找金援的是亲生儿子,殊不知是 AI 合成语音诈骗。透过两起真实案例,一起了解用 AI 合成的语音人声,如何带来全新资安风险。
是谁打来求救?几可乱真的 AI 合成人声
根据报导,这对夫妻接连接到两通电话,第一通「来自儿子」说自己出了场严重车祸被拘留,需要一笔钱被保释出去;第二通电话「来自律师」,声称共需要 2.1 万美元的法律程序费用,诉讼案件才能呈上法庭处理。
诈骗电话里「儿子的声音」几乎毫无破绽,即便受害者夫妻事後回忆电话有点奇怪,当下仍旧迅速筹足款项,并以比特币方式将钱交给对方,一直到儿子本人(Benjamin Perkin)当晚刚好打来问候父母时,才发现大事不妙。
Perkin 接受媒体访问时表示,他们已向加拿大警方报案,然而不管怎麽样,「那笔钱就是被骗走了,我们没有相关保险,那笔钱不会回来了。」Perkin 不确定诈骗者究竟是从哪里得到他的声音进行仿制,不过他曾经在 YouTube 上传雪地摩托车影片;目前市面上已经有 ElevenLabs 等擅长模仿人声的 AI 音讯工具,只需要短短几分钟的语音片段,就能合成出高度相似的人类语调。
「我用 AI 声音产生器,骇入自己的银行帐户」
声纹、指纹、语音辨识等生物验证技术不断进步,在美国和欧洲,有不少银行提供语音 ID 服务,只要打通电话、动动嘴巴就能通过重重验证关卡,办理所需银行业务;这种语音 ID 真的如同银行承诺的那般安全吗?
VICE 记者 Joseph Cox 实测後断言,语音生物辨识一点也不安全,费用低廉甚或免费的 AI 合成音就足以把系统耍得团团转:在这项实验里,Cox 播打了银行的语音服务专线,银行语音依序请 Cox 用自己的声音,说明业务需求、出生年月日,以及重复「my voice is my password」(我的声音就是我的密码)这句话。
整个过程里,Cox 都没有开口说话,而是播放一旁准备好的语音档,而该银行的安全系统仅花费了几秒钟,Cox 就顺利通过了语音验证,可以自由查看存款余额、交易纪录、汇款明细等帐户资讯。结果,AI 合成人声大获全胜。
AI 沦犯罪工具,语音合成诈骗仅是起始点
全球已经有多起案例显示,在民众理解程度尚浅的情况下,诈骗集团可轻易利用 AI 合成语音进行犯罪,且往往造成被害人金钱损失惨重,因此资安专家开始呼吁银行全面停用语音验证服务,并尽速更改为更安全的多重要素验证(MFA);由於前者几乎不需要和真人互动,而随着 AI 合成工具变得越来越强大,其安全可靠性也不断降低。
根据美国联邦贸易委员会(FTC)统计,2022 年全美共有 240 万人不幸沦为诈骗案被害者,损失金额高达 88 亿美元,且发言人 Juliana Gruenwald 表示:「我们认为将会出现越来越多诈骗案件,会是运用 Deepfakes 换脸技术等 AI 合成媒体来进行,此趋势目前在社群平台上最为明显」。
随着各领域的 AI 工具雨後春笋般冒出,足以生成如假似真的相片、影片、语音、文字,可以想见的是,未来我们将面临更多没见过的新型态诈骗、资安威胁,且这些威胁可能来得很快。
参考资料:Insider、VICE,首图来源:由 AI 算图工具 Midjourney 生成。
(责任编辑:蓝立晴)