Arup 員工在 AI 深偽影片會議詐騙中損失 2500 萬美元

一名全球工程公司 Arup 的財務員工在加入一個看似合法的視訊會議後,轉移了近 2,500 萬美元,會議中包括公司的首席財務官和同事,事後才發現幾乎每個參與者都是由 AI 生成。攻擊者利用逼真的合成聲音和臉孔,在視訊通話中突破技術控制,成功騙取信任。根據 Resemble AI 發布的新指南,這個案例已成為深偽技術從孤立示範演變為影響企業、金融機構和政府機關的主流安全風險的代表性範例,並由 Gartner、FBI 和世界經濟論壇的研究描繪出日益擴大的威脅格局。

Arup 員工授權總計約 2,500 萬美元的電匯於 AI 生成視訊會議期間

Arup 事件已成為業界關於 AI 深偽詐騙的經典案例。一名財務員工最初懷疑收到一封釣魚郵件,要求進行機密交易。該員工沒有立即行動,而是加入了一個看似由公司財務長和幾位同事參與的視訊會議。每個人看起來都很真實,聲音也很自然,會議完全合法。根據會議中的指示,該員工批准了多筆總計約 2,500 萬美元的電匯。事後調查人員才發現,幾乎每個參與者都是由 AI 生成。攻擊成功的原因在於它突破了企業花費數十年改進的技術控制,沒有惡意軟體、受損的端點或惡意附件。該員工雖然正確識別了可疑郵件,但在視訊會議中熟悉的臉孔和聲音所提供的明顯確認,讓其判斷被覆蓋。

Gartner 報告 62% 組織遭遇深偽攻擊

根據 Resemble AI 報告引用的 Gartner 研究,62% 的組織在過去 12 個月內遭遇過深偽攻擊。近七成攻擊針對視訊系統,67% 則針對語音通訊。FBI 2025 年網路犯罪投訴中心報告估計,AI 支援的詐騙造成約 8 億 9300 萬美元的報告損失。研究人員也估計,2025 年約有 800 萬件合成媒體在網路上流傳,較幾年前呈爆炸性成長。雖然估計因方法不同而略有差異,但所有主要研究都指向同一方向:由 AI 生成的欺騙正以超出現有安全控制設計範圍的速度擴展。對金融機構而言,影響已遠超社群媒體的錯誤資訊,因為每個依賴語音辨識、視訊驗證或數位身份信任的流程,都可能成為攻擊面。

聲音克隆技術僅需數秒音訊

Resemble AI 的報告指出,組織應將深偽不再視為孤立的資安事件,而是視為一個身份認證問題。聲音克隆技術現在只需幾秒公開音訊,即可產生逼真的模仿。會議簡報、財報電話、播客和訪談,實質上都成為攻擊者模仿高層的訓練素材。視訊生成也有類似進步,以前需要昂貴的視覺特效,現在則能用消費者 AI 工具產生逼真的臉部表情、同步語音和逼真的視訊通話。Gartner 曾預測,到 2026 年,30% 的企業將不再單獨依賴身份驗證,因為 AI 生成的深偽技術使其不再可靠,該預測隨著攻擊日益精密,報告也強調其相關性日增。

金融服務面臨高階主管冒充與投資詐騙

雖然深偽攻擊影響多個產業,但金融服務因許多高價值決策依賴可信通訊而面臨特殊風險。支付授權、帳戶恢復、遠端新戶開戶、財富管理諮詢和客戶服務互動,越來越多在數位渠道進行,這些渠道傳統上依賴視覺或語音辨識建立身份。指南指出幾種已在組織中反覆出現的攻擊模式。高階主管冒充是最高價值的類別,利用克隆的高層授權詐騙款項。投資詐騙則持續利用 AI 生成的政治人物、名人和金融人物影片,推銷假交易或加密貨幣平台。招聘詐騙也逐漸擴大,合成身份和 AI 生成的應徵者企圖進入組織,存取敏感系統或資訊。消費者詐騙則透過模仿家人聲音的 AI 生成語音,進行所謂的虛擬綁架或客戶服務冒充攻擊。

傳統安全工具難以偵測感知型攻擊

報告指出,大多數資安投資專注於偵測惡意軟體、可疑郵件或受損裝置,但深偽的運作方式不同,它攻擊的是感知而非網路。當一名合法員工在看似正常的視訊會議中,使用可信的筆電授權付款時,傳統安全控制往往不會察覺異常。沒有惡意附件可隔離,也沒有受損裝置,只有人類基於偽造的視覺和音訊證據做出看似合法的商業決策。這個差異解釋了為何企業越來越將深偽偵測視為一個獨立的安全領域,而非現有反釣魚技術的延伸。

Resemble AI 指南建議四層防禦策略

該報告建議採用多層次策略,結合四個互補能力。第一層著重於身份驗證,包括活體偵測與持續認證。第二層建立來源追溯,利用內容認證(Content Credentials)和數位水印技術驗證內容來源。第三層則運用 AI 偵測系統,分析音訊、視訊和圖像中的合成痕跡,並提供可解釋的結果供安全團隊調查。最後一層超越偵測,進行持續監控,提前識別高階主管冒充、品牌詐騙和其他深偽內容在公開流傳前的風險。報告指出,單一層無法完全消除威脅,組織應假設攻擊者最終會突破個別控制,並相應設計安全方案。

常見問答

Arup 深偽事件發生了什麼?
全球工程公司 Arup 的一名財務員工在加入一個看似包含公司財務長和幾位同事的視訊會議後,轉移了近 2,500 萬美元。調查人員後來發現,幾乎每個參與者都是由 AI 生成,攻擊者利用逼真的合成聲音和臉孔,利用人類的信任突破技術控制。

根據 Gartner,多少組織遭遇深偽攻擊?
根據 Resemble AI 報告引用的 Gartner 研究,62% 的組織在過去 12 個月內遭遇深偽攻擊。近七成攻擊針對視訊系統,67% 則針對語音通訊,FBI 2025 年網路犯罪投訴中心估計 AI 支援的詐騙造成約 8 億 9300 萬美元的損失。

Resemble AI 建議採取何種防禦策略?
該指南建議採用四層防禦策略,包括:結合活體偵測與持續認證的身份驗證、利用內容認證和數位水印建立來源追溯、運用 AI 偵測系統分析音訊與視訊中的合成痕跡並提供可解釋結果,以及持續監控以提前識別高階主管冒充和品牌詐騙,防止其擴散。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆