面對AI詐騙，更要有網路風險基本認知

隨著2023年生成式AI的興起，駭客利用這類新技術升級網路攻擊，成為資安界與社會關注焦點。例如，近期Google發布2024年網路安全預測報告指出，隨著FraudGPT和WormGPT等惡意生成式AI興起，將使網釣內容更逼真，減少過去語法錯誤或是缺乏文化背景的問題。AI深度學習偽造（Deepfake）的照片與影片將更普遍，並延伸至主流新聞平臺，降低公共資訊的可信度，企業、政府將更難與民眾交流。

事實上，早在2019年，就出現Deepfake與AI語音詐騙門檻降低的現象，如今在AI技術突飛猛進的浪潮之下，國際間已有AI詐騙實例，資安界呼籲要特別關注這樣的問題。

雖然臺灣目前較少聽聞AI詐騙案例，但我們必須意識到，這類技術已經變得相當容易應用，不僅政府、金融、執法單位，以及跨國合作要更積極，民眾自身的防詐觀念也必須轉變，不能認為事不關己。

過去，iThome曾報導相當多詐騙與社交工程的網路攻擊，我個人也整理生活中的資安意識觀念，卻還是看到社會上很多人缺乏基本觀念，導致已呼籲多年的詐騙手法，至今依然可以一再奏效。

這也讓我重新思考：為何自己能夠識別詐騙問題，有些人卻不容易識別詐騙？最近，在整理基本資安意識與防詐簡報的過程中，找到一些答案。

對於防詐意識不足的民眾，我們認為，政府與企業在教育宣導上，應該重視兩大層面：（一）教育大眾了解網路文化，才能懂得基本網路社交風險；（二）促進大眾認識並深入了解生活中常見的詐騙活動情資，重視網域名稱的認知教育。

第一點我認為相當重要，卻鮮少被提及。為了幫助大家了解網路文化，我想以20年前玩線上遊戲的經驗來舉例說明。早年上網的人少，玩家多半都知道遊戲中接觸的人，多數都是不認識的網友，所以大家都具有網路社交風險的概念，對於不認識的人，不會輕信對方的言詞。

而且，當時大家普遍能夠體認到：網路上的身分使用暱稱是常態，設立多個角色分身、不同帳號分身是常態，加上網路遊戲交易詐騙樣態也多，在這樣的網路文化薰陶與經驗之下，多半已培養警覺，設想網路背後另一方可能不是原本接觸的那個人。

但現在身處於全民網路時代，所有人都在上網，當大家使用社群平臺、即時通訊時，對於網路社交風險概念反而缺乏。

例如，今年很多人都看到類似假冒知名人物的網路廣告詐騙新聞。例如，一般民眾使用臉書時，看到名稱是公眾人物並放上他或她的照片，難道就真的代表本人嗎？因此，這需要從根本認知上去改變。

同時，現代人雖然懂得享受社群平臺的便利，但從比例來看，多數人可能都對不同線上服務的互動方式不夠瞭解，像是不會積極辨識特定臉書帳號是否為本人，如檢視過去貼文、識別個人檔案掛上藍勾勾的臉書官方認證標示等，有些人則是對臉書動態牆認知很有限，不清楚當中呈現的內容涵蓋朋友、追蹤的粉絲專頁所發布的動態消息之餘，也有自動推薦的網站內容與線上廣告等。

再舉一例，如果我們手機收到簡訊自稱是某某銀行或水公司，這些真的是對方發送的訊息嗎？若你此時產生疑慮，其實就會呼應上述我提到的第二點建議，因為有可能你早已知道方面的威脅情資，或是很早就認知到有「來電號碼」與「郵件寄件者」的偽冒與竄改情況，接著就會知道要先查證，或是向朋友確認這是否為詐騙，並能理解透過其他管道驗證的必要。例如，重新尋找與確認對方的聯絡方式，再打電話與其驗證是否真有其事。

而且，不只要知道詐騙很多的威脅態勢，同時你應該要瞭解一些細節與重點，以常見的解除分期詐騙為例，在警方宣導、社會新聞或網友經驗中已有很多情資，包括：詐騙者知道你的訂單記錄與個資已是常態，對方會雙重假冒客服及銀行人員，ATM不提供取消分期功能，有了這些背景狀況的瞭解，民眾才更會理解第二管道確認的重要性。

當然，假冒名義的話術百百種，以釣魚簡訊（或釣魚郵件）內容來看，如何識破釣魚網址更是一大關鍵。我認為，國內最缺乏的上網安全教育工作，就是「網域識別」及「知道查證」。為了避免這樣的問題，我們至少要試著讓社會大眾多了解相關資訊，懂得「網域」是在整個網址的其中一個部分。

大家可以想像，網路世界的門牌號碼就是要認清「網域」，一旦走錯，就不會走到原本要到的地方，很多釣魚網站只是大門的布置很像，實際門牌號碼根本不同，但如果我們充分具備識別真偽與查證的能力，至少在點擊網址層面就不會上當。

另外，如果你懂得更多，將知道網路安全風險相當複雜，像是DNS被惡意軟體竄改，導致網址被解析到不同IP位址，這會是不同層面的問題。