社交工程攻擊複雜化　雙重因素認證與AI是防禦關鍵

編譯／鄭智懷

隨著視訊會議和遠距工作的普及，職場的虛擬化應用預估會持續發展，成為未來不可忽視的風潮。然而，利用人性弱點，藉由人際互動遂行的社交工程（Social engineering）攻擊手法，也搭上這股風潮，利用深偽技術（Deepfake）等新興利器，使相關行動更加複雜，顯著地改變資安威脅環境。

所謂深偽技術，其主要使用了生成對抗網路（GAN）與自編碼器（Autoencoder）兩大技術與概念，遂行人臉生成、替換和重製，以及聲音合成。而不法分子透過人工智慧（AI）結合，或是單一使用上述手法製作假冒特定目標，例如政商名流的影片和音訊檔案，用來投放廣告、甚至冒充某人身分進行視訊通話，詐騙受害者財務等。

專家指出，深偽技術可以成為攻擊者執行社交工程攻擊的有效利器，有效達到勒索、詐騙或毀損他人名譽之目的。譬如攻擊者可以偽造某企業高階主管人臉與聲音，在視訊會議中欺騙員工採取一系列有損公司利益的行為。

此外，鑒於地下論壇提供非法交易惡意工具的良好場域，技術有限的犯罪分子可以透過此管道更容易也更方便取得使用深偽技術的軟體，製作詐欺影片和音訊檔案，進一步惡化此類技術所造成的威脅。

整體而言，目前並沒有任何簡單且安全的方法可以檢測影片與音訊檔案是否已經經過深偽技術處理。不過，雙重因素認證（2FA）和人工智慧技術仍然能提供有效的因應手段。前者可以增加額外的安全和保護，後者則可以快速辨識出影片與音訊檔案有沒有任何被偽造的痕跡。

而在思維上，專家建議，防護方必須將深偽技術的概念納入風險評估以及兵推演練之中，方能更好的保護組織或個人免受攻擊。這同時也意味著各組織應該提供內部人員充足的教育，以及相關演練。畢竟「人」始終是面對資訊安全威脅的第一道、也是最重要的防線。

資料來源：Security Affairs

瀏覽 660 次