新加坡警察部队(SPF)于今年4月7日宣布,成功侦破一宗涉及Deepfake视讯会议的诈骗案,并追回49.9万美元的诈骗款项,这是新加坡首度公开披露此类利用AI伪冒的真实案件,也让我们可以更清楚犯罪者使用的手法。
去年初,英国工程公司Arup的香港子公司,到了4月7日,新加坡警察部队(SPF)宣布破获一起报导,马来西亚银行(Maybank)财务长,在一年前,曾险些遭遇AI伪冒语音的诈骗,对方意图骗取98.5万美元。
而这起事件之所以曝光,是因为今年2月该银行财务长因内部调查而被解雇。
关于详细情形,该媒体报导有进一步说明,当中整理银行与前财务长的说词,让我们了解更多事故状况。
简单来说,马来西亚银行财务长是在去年4月24日,从私人手机收到讯息(非工作手机),对方自称马来亚银行新加坡分行执行长,(但财务长并不认识这个马来西亚电话号码),其讯息内容声称,有公司机密项目要讨论,将在Zoom电话会议中说明。
接著,冒充者透过发送Zoom电话会议连结,持续试图取得财务长信任,声称正秘密收购一家公司,以扩展业务,但开会不久,对方又声称网路状况不佳,建议以WhatsApp继续通话,甚至假借避免内线交易风险为由,强调之后都会以WhatsApp联系。
同时,该名财务长收到一则WhatsApp讯息(也是从一个不认识的电话号码传来),对方自称是马来亚银行总裁兼集团执行长,表示同意汇款98.5万元,从摩根大通银行汇至一家香港公司。
后续,该名财务长虽听令转帐,但因摩根大通将款项扣留许久,才觉得不对劲,因此联系新加坡分行执行长的公务电话,这时才确认有人冒充,于晚间赶紧指示取消汇款。
2024年底,马来西亚银行开始审查这次事件,并在今年1月进行内部调查,如今传出该财务长面临未能致电确认,以及未通报上级机关,等7项指控。
另一方面,这名前财务长则是否认这些指控,指出该事件并未让银行在财务上有所损失,特别的是,他认为企业高层有多支手机的情形很常见,因此他当时相信假冒者的马来西亚号码,是新加坡分行执行长的私人电话。
从上述资讯来看,我们可以联想到,过去企业进行社交工程演练,主要针对钓鱼邮件而来,但上述这些事件已经显现出,社交工程攻击管道变得更多元,结合即时通讯工具、视讯会议,再加上Deepfake技术的混合应用,更成为攻击者取信的一大关键。