案例背景
最近,香港发生一宗诈骗案件,涉案金额达2亿港元.1 这名骗子冒充一家跨国澳门赌场官方下载海外总部的首席财务官(CFO),指使分公司的财务人员参加一个机密会议. 使用深度伪造技术, 骗子制作了一个虚拟视频,并在视频通话中提供虚假的投资指导. 根据这些说明, 工作人员未经适当授权,将一大笔钱转到各个账户. 随后, 当他们联系英国总部的同事时, 很明显,他们被骗了. 他们意识到所发生的事情后,立即向警方报告了这一事件.
先进科技骗局
深度造假骗局已成为数字时代普遍存在的威胁. 他们使用人工智能(AI)来制作令人信服但完全捏造的视频和录音. 深度造假骗局有可能损害声誉, 散布虚假信息, 甚至操纵金融市场. 为了应对这种日益增长的担忧, 个人和组织必须实施强有力的策略来预防和减轻深度欺诈的影响.
深度造假技术的进步大大复杂化了照片编辑的常见做法. 在过去, 照片可以用Photoshop修改, 导致许多人质疑它们作为证据的可靠性和可用性,如法医或失踪人员识别. 如今,深度造假技术在很大程度上模糊了真实与虚构之间的界限. 普通人无法获得制造令人信服的深度伪造所需的技术, 然而, 区分真假仍然是一个主要问题.
随着科技的飞速发展和网络速度的加快, 提高计算机性能, 2019冠状病毒病之后,人们普遍接受在线会议, 黑客在使用欺诈技术方面具有更大的灵活性, 包括深度造假技术. 结果是, 员工被欺骗的风险增加了, 使防御这种战术更具挑战性.
这些骗局有可能损害声誉, 散布虚假信息, 甚至操纵金融市场.
区分深度假转换正变得越来越具有挑战性. 以香港deepfake案为例, 目标澳门赌场官方下载的员工完全被这位深度造假的CFO愚弄了. 这种情况表明了深度造假技术的深远影响, 即使是最安全的澳门赌场官方下载. 因此,了解深度伪造如何发挥作用以正确防御它们是至关重要的.
在香港, 骗子的方法包括发送一个机密会议请求和一个加入链接, 在其他社会工程策略中. 在考虑未来如何防止此类攻击时, 我们能从骗子的邮件或与会者的身份证中找到线索吗? 有没有一种非技术的方法来防止这种骗局的发生?
组织的非技术行动和步骤
一种有效的预防策略是提高人们的认识,并就深度欺诈的存在及其潜在影响提供教育. 通过教导个人如何发现可疑内容,并鼓励在消费媒体时进行批判性思考, 成为深度欺诈受害者的风险可以大大降低.
目前还不清楚香港案件的受害者是否遵循了既定的转账程序. 在某些情况下, 某些澳门赌场官方下载的行政总裁/首席运营官/首席财务官必须签署最少一份,方可支付超过港币1000元的款项.2 这个要求可能看起来很严格,但它有助于降低澳门赌场官方下载面临的风险. 正常情况下, 不管金额多少, 汇款需要获得批准,以确保符合许可和内部审计控制. 较少的人可以批准较小的金额,而较大的金额则需要更多的签名. 另外, 验证签名以防止未经授权的使用非常重要(曾经发生过高管的电子邮件被黑客入侵的情况), 资金得到批准). 如果组织策略需要海外总部批准, 组织应该考虑使用电子签名解决方案,例如DocuSign,以防止由于潜在的个人错误而导致流程中断.
令人惊讶的是,一个人可以在没有从内部控制或风险管理角度进行适当监督的情况下获得如此巨额的资金. 如果香港个案中的个人没有成为诈骗的受害者或处于受损状态, 他们可能以不受监管的方式将资金转移到各个账户. 为了防止这种风险, 组织应该实施一个直接的内部控制流程,其中至少有两到三名高级管理人员作为看门人. 这确保了大规模资金转移受到审查,避免了潜在的灾难性情况.
可以说,虽然这次事件的焦点在于深度造假技术的威力, 欺诈者的实际成功是由于组织机制上的漏洞.
除了了解深度造假技术,使欺诈者能够使用更复杂的诈骗方法, 组织需要专注于建立健全的内部控制. 通过制定清晰的内部政策,组织可以有效地减轻灾难性风险. 然而,尽管其重要性,内部控制政策往往被忽视的组织.
结论
解决深度造假骗局需要多方面的方法,包括对终端用户的教育, 网络安全, 以及与利益攸关方的合作. 通过主动实施这些策略, 个人和组织可以更好地保护自己免受先进技术诈骗的破坏性影响.
尾注
1 Magramo K.; “英国工程巨头奥雅纳被揭露是2500万美元Deepfake骗局的受害者CNN, 2024年5月17日
2 源自作者在香港担任内部资讯科技经理的个人经验.
尤马人的桥
是否为ISO27001高级审核员, 网络安全和澳门赌场官方下载安全讲师, 她拥有信息安全和计算机犯罪的理学硕士学位.