詐騙是是民眾生活最大的痛點之一,也是臺灣政府新內閣所面臨的艱鉅任務。「優質新聞發展協會」日前邀請國家資通安全研究院數位訊息分析組江禹賢經理,在「優沙龍」講座分享目前常見的詐騙科技手法、詐騙供應鏈及因應之道,期盼從源頭做到「識詐」、「防詐」以遏止源源不斷的詐騙橫行。

網路詐騙趨勢

全球反詐騙聯盟(GASA)調查,全球詐騙案件數從2020年至2021年提升至 2.93 億件,成長10.2%;總損失金額提升至553億美金,成長 15.7%;全球有 25.5 %的人口遭受詐騙,造成1.026 兆美金的損失,相當於全球GDP的 1.05%。

江禹賢指出網路詐騙有三種趨勢,分別是快狠準。以台灣來說,快就是10倍速度刊登詐騙內容,並在一天內下架;狠就是單月20萬筆詐騙廣告,月增6萬筆;準就是20秒即可產出文圖並茂的詐騙內容,並準確投放到同溫層。

被濫用的人工智慧技術

《2024全球風險調查》中,世界經濟論壇將「虛假訊息」列為未來兩年首要風險,尤其在全球進入選舉高峰期時尤為突出。未來兩年,全球將有約30億人參與選舉,包括2024年1月的台灣總統大選,以及印度、印尼、英美等超過70場選舉。虛假訊息可藉由人工智慧的技術快速散播,意圖影響選情,並可能引發暴動、抗議及仇恨犯罪等社會問題。

擁有超過13,000家企業客戶的數位身分解決方案公司Signicat 於一份報告指出,在歐洲檢測到針對金融機構的詐騙活動中,超過40%嘗試利用人工智慧技術,而出現受害者的案件則佔了29%。

AI人工智慧詐騙技術

生成式人工智慧是一種能創造新內容的技術,涵蓋對話、故事、影像、影片及音樂等領域。它學習人類語言、程式、藝術等複雜主題,並運用知識解決問題。由於操作簡單,許多模型可低成本或免費取得,這使得詐騙集團能快速製作大量精密的詐騙內容,如網路釣魚信、假親友電話及深偽影音,難以分辨真假。例如五秒鐘即可生成一家虛構財務公司的業務內容,十五秒之內即可產生該公司的視覺形象。

江禹賢指出使用 AI 技術變造影像,常見案例有合成背景、置換人臉或聲音。今年6月24日一則長達五個小時的網路直播,利用 Elon Musk 的深偽影片推動加密貨幣騙局,直播一度超過三萬名觀眾收看,甚至成為平台的推薦影音。

另外Text-to-Speech 文字轉語音的技術被濫用製作成逼真的語音訊息,隨著 AI 科技進步,只需要提供文字就可以合成具有多種音色、語言變化,語氣上也更加自然的語音內容。

詐騙產業供應鏈

詐騙生態的供應鏈可區分為上中下游,上游為資源提供者,可提供受害者的個人資料(姓名、電話、住址)、購物紀錄、物流資料、信用卡號碼、借貸紀錄、簡訊資料等;他們也可供應相關的技術,例如惡意軟體、社交工程工具(釣魚網站、深偽軟體)、網路攻擊軟體、匿名與加密技術、洗錢軟體、虛擬通貨交易所、自動化工具 (帳號產生器、群控軟體)。

中游為策劃者與執行者,他們的成員包括詐團管理高層、招募培訓人員、機房維運人員、話術設計師、電話網路客服、社群媒體經營,其特徵為組織分工明確,透過騙術接觸潛在受害者,並以多層次的誘因導致其難以脫身。

下游為洗錢者,其成員組成為虛擬通貨平台、境外貿易商、地下錢莊、車手集團、洗錢水房、業務部門內應,洗錢者涉及資金移轉與複雜金融操作,經常性的跨國行動,也可能用合法業務掩護非法,衍生其他犯罪。

若以詐騙行為的流動環節來看,資源提供者進行資訊流的工作,包括濫用網路通訊技術、協助匿名及販售個人資料;策劃者與執行者進行人流的作業,包括通訊人員招募培訓、詐騙話術設計、社群平台引流;執行者和洗錢者則進行金流的活動,包括信用卡人頭帳戶、國內外洗錢水房、人蛇車手集團。這些流動環節間有著緊密的資源交換和跨環節利益分配,並能迅速更新犯罪手法以應對政策,各流動環節的參與者可能為了分散風險而不會有太深入的互動,但追求最大化利潤則是他們的一致目標。

常見的詐騙手法分析

江禹賢指出常見的詐騙手法有五種類型
一、錯假資訊 : 社群重度使用者最容易被錯假訊息誤導,錯假資訊容易在未查核前就在社群平台傳遞,另外青年族群的閱聽習慣更可能成為加速的關鍵。

二、複雜手法 : 比較容易出現在電商交易,詐騙者對買家和賣家同時釋出產品、訂單、匯款帳號、退單退款等虛假訊息,讓辨識經驗不足的買家賣家逐步落入詐騙者的圈套。

三、愛情交友 : 先以偽造身分照片加入平台,接著公開平台宣傳聯絡方式,在聊天的過程中建立信任,最後運用話術進行勒索敲詐。

四、財務詐騙 : 比如推出免費贈送或是限時福利的誘因,讓消費習慣與知識不足的受害者,以網路銀行的操作,將帳戶裡的金額轉帳給詐騙者。

五、求職陷阱 : 詐騙者透過LINE或臉書等社群平台提出工作時間彈性輕鬆,卻有高薪入帳的誘因,有時也會使用複雜的專業術語來取信求職者,最後要求受害者提供往來銀行帳戶並提交身分證件,以便日後進行更大筆的詐騙。

未來趨勢與挑戰

根據台灣今年3至6月的含影片社群廣告比例統計,詐騙影音廣告成長迅速,四月時的投放比例更首度超過一般廣告。江禹賢認為民眾需要提高警覺,謹慎看待網路上各種誘人的廣告和投資機會,養成查證的習慣

今年詐騙廣告有明顯的程式操作跡象,廣告集中在平日上班時間(6AM~6PM)投放,星期六日會明顯下降,符合企業營運常態。

若追蹤單一個案,詐騙廣告在人工帳號與機器人帳號會有明顯的廣告數量差距,人工操作帳號平均每天投放不到三篇廣告,機器人帳號每天穩定投放三十篇以上。

江禹賢認為詐騙供應鏈打擊的關鍵有三

  • 遏制詐騙廣告傳播 : 大型網路平台須配合防詐措施,降低詐騙廣告觸及潛在受害者的機會。
  • 強化身份驗證機制 : 推動多層次實名制,減少人頭帳戶和虛假身份的使用,增加不法份子的作案成本和風險。
  • 提高詐欺犯罪刑度 : 對於加重詐欺、洗錢等犯行提高 法定刑責,並落實法治教育。

江禹賢也介紹了其他國家的作法,例如為了解決簡訊詐騙問題,新加坡官方在2023年正式啟用簡訊註冊中SSIR(SMS Sender ID Registry),未註冊的簡訊將被標記為「Likely-SCAM」,讓使用者可以提高警覺。這個機制是新加坡針對網路詐騙議題第一個同時也是投入最多資源的策略,是政府與電信公司緊密合作的最佳範例。在全面實施 SSIR 機制後的三個月後,簡訊詐騙的案件數下降了70 %,80%的民眾認為詐騙標籤會讓他們更加謹慎,客戶身分的驗證程序也強化官方 ScamShield應用程式的能力。

英國在2023年制定了長期的詐騙反制策略,並計畫在2025年之前把詐騙案件下降 10% (跟2019年相比)。該策略的重點是從源頭預防、追究行為人責任並保護消費者。主要措施為成立編制有400餘名調查員的國家反詐小組、詐騙案件列為警力優先處理範疇、運用情報網絡追蹤全球詐騙份子、增強對詐騙及數位犯罪的調查與起訴過程、禁止SIM卡農場及大規模簡訊發送機制、改善國家通報系統。根據England and Wales 統計,過去一年詐騙和數位犯罪比例因執行上述策略,下降了13 %。

歐洲企業財務主管協會(EACT)強調「銀行間、監管機關、電信公司、支付業者」,四個關鍵領域的「政策、技術、資料共享」合作。面對嚴格的GDPR(一般資料保護規則),歐盟委員會正在協商修改條文,允許某些詐欺相關數據及流程可以被應用。例如規劃共享數據相關法律、應針對收款人進行實名認證、SEPA電支、信用轉帳強制執 行收款人驗證、銀行員工社交工程演練。

綜論來說AI 科技已相當普及,可迅速的產生成本極低的精緻詐騙內容,另外詐騙行為也以不斷進化的供應鏈方式運作。詐騙行為不會消失,但詐騙可以被阻止,江禹賢認為強化關鍵設施資安,導入隱私強化技術;精進跨域情資整合,跨機關協同驗證;推動全民防詐、企業履行社會責任意識,是目前可優先進行的防詐中短期策略。

(紀錄整理:孫璇;編輯:邱家宜)