人工智能与网络钓鱼诈骗

联邦贸易委员会 (The Federal Trade Commission) 和少数族裔媒体服务中心 (Ethnic Media Services) 于 9月 1 日组织了新闻发布会,  关注 ” 如何识别人工智能和网络钓鱼诈骗 ” 。这是联邦贸易委员会举行的三场简报中的第二场, 介绍了诈骗者的方法, 他们可能会使用电子邮件和短信, 试图让您付款, 或窃取您的密码、帐号或社会安全号码的一些最新方式 - 通称为“ 网络钓鱼 CatPhished “。一旦诈骗者获得该信息, 他们就可以访问您的电子邮件、银行或其他帐户，或者将您的信息出售给其他诈骗者。诈骗者每天都会发起数百万次此类网络钓鱼攻击, 而且往往会成功。他们还利用不断发展的新技术, 如人工智能, 通过模拟家庭成员的声音, 使人们陷入家庭紧急情况。最好的防御措施是经过媒体多次传播提醒有关此类网络钓鱼的信息, 这样您的受众就不会被愚弄。

根据 FTC 2022 年超过 200 万起的欺诈报告数据,  短信是欺诈投诉的主要联系方式。这是 FTC 第一次从欺诈者联系消费者的所有方式中看到这一点。短信网络钓鱼诈骗,  通常采用以下五种形式之一：冒充银行（最流行）、免费礼物短信、虚假包裹递送、虚假招聘, 以及据称来自亚马逊的短信。然而网络钓鱼的损失,  上升中最独特、最难以捉摸的发展是基于人工智能的欺诈, 最常见的是家庭紧急诈骗的形式。而在 2023 年上半年,  已经收到了 110 万起欺诈报告,  消费者报告的损失总计 44 亿美元。总体损失最高的是, 诈骗者通过社交媒体联系人们。人均损失最高的是, 诈骗者通过电话联系人们。今年报告最多的欺诈形式是冒名顶替诈骗，商业冒名顶替者的损失增加了两倍多。冒名顶替欺诈的报告,  如诈骗者声称与政府、公司或亲人有联系，以说服消费者提供个人或财务信息, 其次是奖项, 然后是投资, 然后是工作或商业机会。

美国联邦贸易委员会 (FTC) 营销实践部门的律师 Ben Davidson, 他将网络钓鱼描述为 “试图窃取消费者信息、个人信息、财务信息、密码的行为”，通常采用基于电子邮件的攻击形式。尽管这些人工智能的创新正在兴起，但网络钓鱼行为本身并不新鲜。美国黑客早在 1996 年就创造了这个术语，当时它出现在黑客新闻组 alt.2600 中。 这个词源自“钓鱼”，用“ph”代替 “f ”，与第一种黑客攻击形式 “phreaking” 呼应连结,  将这种骗局与向互联网用户的海洋中投掷 “钩子” 的做法进行类比。

尽管基于人工智能的欺诈, 因其功效而通常比其他形式更难发现, 他提示在这些诈骗中诈骗者利用人工智能技术, 通过 30 秒的声音文件（通常通过社交媒体获得）克隆受害者家庭成员的声音, 并冒充该家庭成员给受害者打电话, 例如说：“‘嗨爷爷， 这就是我。 我有麻烦了。 我需要钱。’他们说自己进了监狱，需要钱来保释，或者他们出国旅行，丢了护照，需要钱买机票。总是有紧急情况。 窃取者还经常说, “ ‘请不要告诉任何人，我的父母会生我的气’ ’ 我的配偶会失望的。’”   Davison 建议那些接到亲人打来紧急电话的人,  使用 “ 一些挑战性的问题, 以确保与你交谈的人确实是谁 ”。它不需要像提前安排的密码那样奇特的东西。他说,  如果我问我的妻子, 告诉我一些关于我的事情, 并让我相信你就是你, 她应该很容易做到。又如 “ 我们的孩子叫什么名字?” “ 谁是我们的隔壁邻居？” “我们昨晚吃了什么晚饭？” Davison 说，“错误的紧迫感” 在网络钓鱼诈骗中很常见，为了避免这种情况，他建议消费者寻找错误或奇怪之处, 而不是立即做出反应,  对所有可能的帐户使用多重身份验证,  通过联系诈骗者冒充的公司来独立验证消息,  并即时报告欺诈行为。

Benjamin Davidson, Attorney, Division of Marketing Practices, Federal Trade Commission

Rosario Mendez, Attorney, Federal Trade Commission