【TechOrange 編輯部導讀】「爸,我剛發生車禍了!需要一筆錢……」電話那頭的聲音,無論是語氣還是聲調,聽起來真的很像你兒子,幾乎沒有任何破綻。但誰能想到,將人聲模仿得維妙維肖的,竟然會是 AI 語音合成技術。
當 AI 進步的速度越來越快,過往我們認為「不可能是假的吧!」、「這個機制絕對安全」,這些舊有思維都將被顛覆。而無論是企業或個人,絕對要對此提高警覺。
語音生物辨識(voice biometrics)已不再安全!無論是語音線上購物,或要通過銀行的電話語音驗證,當 AI 工具越來越聰明,前所未見的資安風險正在產生。
加拿大跨國媒體 VICE 記者實測,成功透過 AI 合成虛擬聲音「駭」進自己的銀行帳戶,使用的還是市面上現有的免費 AI 工具;而同樣在加拿大,一對夫妻被騙走 2.1 萬美元——他們以為電話裡找金援的是親生兒子,殊不知是 AI 合成語音詐騙。透過兩起真實案例,一起了解用 AI 合成的語音人聲,如何帶來全新資安風險。
是誰打來求救?幾可亂真的 AI 合成人聲
根據報導,這對夫妻接連接到兩通電話,第一通「來自兒子」說自己出了場嚴重車禍被拘留,需要一筆錢被保釋出去;第二通電話「來自律師」,聲稱共需要 2.1 萬美元的法律程序費用,訴訟案件才能呈上法庭處理。
詐騙電話裡「兒子的聲音」幾乎毫無破綻,即便受害者夫妻事後回憶電話有點奇怪,當下仍舊迅速籌足款項,並以比特幣方式將錢交給對方,一直到兒子本人(Benjamin Perkin)當晚剛好打來問候父母時,才發現大事不妙。
Perkin 接受媒體訪問時表示,他們已向加拿大警方報案,然而不管怎麼樣,「那筆錢就是被騙走了,我們沒有相關保險,那筆錢不會回來了。」Perkin 不確定詐騙者究竟是從哪裡得到他的聲音進行仿製,不過他曾經在 YouTube 上傳雪地摩托車影片;目前市面上已經有 ElevenLabs 等擅長模仿人聲的 AI 音訊工具,只需要短短幾分鐘的語音片段,就能合成出高度相似的人類語調。
「我用 AI 聲音產生器,駭入自己的銀行帳戶」
聲紋、指紋、語音辨識等生物驗證技術不斷進步,在美國和歐洲,有不少銀行提供語音 ID 服務,只要打通電話、動動嘴巴就能通過重重驗證關卡,辦理所需銀行業務;這種語音 ID 真的如同銀行承諾的那般安全嗎?
VICE 記者 Joseph Cox 實測後斷言,語音生物辨識一點也不安全,費用低廉甚或免費的 AI 合成音就足以把系統耍得團團轉:在這項實驗裡,Cox 播打了銀行的語音服務專線,銀行語音依序請 Cox 用自己的聲音,說明業務需求、出生年月日,以及重複「my voice is my password」(我的聲音就是我的密碼)這句話。
整個過程裡,Cox 都沒有開口說話,而是播放一旁準備好的語音檔,而該銀行的安全系統僅花費了幾秒鐘,Cox 就順利通過了語音驗證,可以自由查看存款餘額、交易紀錄、匯款明細等帳戶資訊。結果,AI 合成人聲大獲全勝。
AI 淪犯罪工具,語音合成詐騙僅是起始點
全球已經有多起案例顯示,在民眾理解程度尚淺的情況下,詐騙集團可輕易利用 AI 合成語音進行犯罪,且往往造成被害人金錢損失慘重,因此資安專家開始呼籲銀行全面停用語音驗證服務,並盡速更改為更安全的多重要素驗證(MFA);由於前者幾乎不需要和真人互動,而隨著 AI 合成工具變得越來越強大,其安全可靠性也不斷降低。
根據美國聯邦貿易委員會(FTC)統計,2022 年全美共有 240 萬人不幸淪為詐騙案被害者,損失金額高達 88 億美元,且發言人 Juliana Gruenwald 表示:「我們認為將會出現越來越多詐騙案件,會是運用 Deepfakes 換臉技術等 AI 合成媒體來進行,此趨勢目前在社群平台上最為明顯」。
隨著各領域的 AI 工具雨後春筍般冒出,足以生成如假似真的相片、影片、語音、文字,可以想見的是,未來我們將面臨更多沒見過的新型態詐騙、資安威脅,且這些威脅可能來得很快。