近日当局宣布,本地零售银行要在三个月内,让已使用数码认证的用户停用包括手机短信在内的一次性密码验证,进一步防范日益猖獗的网络钓鱼风险。

看到这条新闻后,不由想到最近友人分享他陷入骗局一事,不论有关当局和机构如何加强防范,骗子总有更加“新颖”的伎俩来下手。

这名友人可说完全不符容易受骗对象的形容,他的教育程度高,熟悉数码服务,更是熟悉金融投资,也并非急着求职或急须赚钱。

故事是,他与朋友A通话完不久,就收到一个陌生号码来电,自称是A,说自己的手机号突然出问题换号码,让他存入这个新号码。他听着口音语气和A确实没差异,并且对自己的称呼也没错,当下没有任何疑问。

过了几日,A突然来电声称自家装修,但装修商急着回马来西亚,要收尾款,而A声称已经到了每日转账顶限,请他帮忙用PayNow转账给“装修商”。他热心豪爽,转了4000元过去(这是他每日转账顶限),接下来A就“人间蒸发”了。

骗子手段不断更新 深伪科技模仿熟人声音

当他转账之后发现A不再回复,惊觉陷入高科技骗局。骗子不知从何获得他与朋友通话的内容,竟能模仿得惟妙惟肖,估计是靠人工智能助力。

友人事后已经报警,但至今没有任何进展,他也不抱什么希望能追回款项,只希望能给公众提个醒。

骗子的“创新”真是“日新月异”,防不胜防,让人感叹连通电话都不可信了,借钱一定要面对面。

从旁观者角度,我们或能发现一些骗案迹象,例如突然换手机号、急着借钱。但身在局中,或许真的难以辨识,尤其现在骗子已经能够用深度伪装科技(deepfake)假扮熟人的声音。

无独有偶,近期媒体报道,一名20岁大学生接到认识多年的“鸡饭摊老板”电话借钱,他转了8000元后惊觉受骗报警,也是怀疑骗子用人工智能发语音。这名李姓大学生称自己从小就爱吃这摊鸡饭,一家人也跟摊主是相当熟络的朋友。骗子说得出自己在大巴窑卖鸡饭,声音又跟鸡饭老板相似。

上网搜一下,各类克隆声音、人工智能声音生成器的网站比比皆是。

此前各类深伪视频就已经在网上肆虐,骗子用我国政界和商界领导人的深伪视频代言投资产品。

英国一家公司香港分公司的财务部门员工,参加了一场冒牌总部首席财务官和员工出席的视频会议,导致公司被骗走2亿港元(3400万新元),也是拜深伪科技所赐。

骗子也将网撒到了企业界,冒充潜在客户向企业短时间订购商品,当企业没有足够库存时又提供假供应商联络让企业“进货”。

说回银行要停用一次性密码的这个新闻,诚然这可以降低网络钓鱼的风险,不过现今诈骗案种类之多、范围之广,让人防不胜防。比如上述友人陷入的骗局,和有无一次性密码并无关联。2017年推出的PayNow直接转账,为消费者和商家提供诸多便利,也让骗子有空子可钻。

可以看出,在本地银行大力加强对高额转账的钓鱼骗案防范后,有骗子把目标转移到较低金额的骗案,并借助人工智能高科技,让人放低戒心。

让人疑惑的是,骗子如何知晓受害者的人际关系,并能获得语音信息来进行深伪模仿?

延伸阅读

李显龙资政提醒民众勿信网上深伪视频
国务资政李显龙指,社交平台小红书和TikTok上流传他谈论涉及台湾、菲律宾等敏感国际议题的视频是深伪假造的,呼吁公众不要相信。(取自国务资政李显龙脸书)
共同责任框架展开咨询 加强钓鱼诈骗案问责制
共同责任框架阐明金融机构在降低钓鱼诈骗案的风险上应履行的责任,包括必须通过短信、电邮或应用发送有关款项被转移的通知给消费者。(档案照片)

还有,骗子得逞后便会换手机号,若有人频繁更换手机号注册PayNow,银行是否应该调查?

调查:消费者高估自己识别深伪能力

一名从事金融投资教育的人士,平时也为公众进行防诈骗教育。他打趣地说:“今天上课用的PPT,明天就过期了。”

对于深伪,本地消费者普遍都有意识,不过日前美国身份识别公司Jumio的一项调查显示,消费者仍高估了自己识别深伪的能力。77%的新加坡消费者认为,自己有能力识别,比前一年高出24个百分点,是四个市场(美国、英国、墨西哥和新加坡)中最高。

让人好奇的是,为何与去年比,认为自己有能力识别深伪的消费者占比增幅那么大?或许在各类新闻出炉后,大家对深伪提高警觉。但往往是这样的自信,会让人不知不觉成为受害者。

曾几何时,笔者也觉得自己不会受骗,但近来愈发觉得这或许不是“会不会”的问题,而是“什么时候”的问题。

在诈骗横行的年代,更多消费者把希望寄予政府当局、金融机构和主要的服务提供商。例如上述调查显示,88%的新加坡消费者常担心被深伪所骗,希望政府能加大监管人工智能的力度。近八成(78%)担心银行是否采取足够措施,保护客户免受深伪欺诈。

整体上75%的受访者认为,银行应担负最终责任,保护他们免受网络犯罪和欺诈。四分之三希望,万一他们成为网络犯罪受害者,银行会全额退款。

在英国,10月7日开始,付款服务提供商必须向手机应用欺诈受害者提供赔偿,这是用户遭欺骗而进行的授权付款,但客户严重疏忽的情况下不予赔偿。多年来,付款业的这一问题日益严重,根据英国银行和金融服务业贸易协会的2023年报告,手机应用诈骗损失在2021年超过了银行卡。

钓鱼骗案责任与赔偿框架 征询结果料近期公布

去年10月,新加坡金融管理局和新加坡资讯通信媒体发展局发布共同责任框架(Shared Responsibility Framework,简称SRF)的公众咨询文件,针对发生钓鱼诈骗案时该如何划分责任和作出赔偿,公开征询意见,为客户资金把关的金融机构,以及在这个过程中扮演辅助角色的电信公司,若发现没有尽责,要赔偿损失。咨询已在去年12月20日结束,预计近期会公布征询结果,之后落实。

但消费者不能就此松一口气。首先,框架虽然说明了银行和电信公司应负担的责任,但消费者也要尽好自己的责任,不点击自称是银行发送的短信或电邮中的链接,不破解手机操作系统的原有设置(jailbreak),如果发现可疑交易或相信户头被盗用,须尽快联系银行或启动银行提供的“紧急关闭开关”(killswitch)冻结户头。

其次,框架也不涵盖所有骗案,例如投资或爱情欺骗案,因为受害者是有意识地汇款给骗子。涉及恶意软件(malware)的骗案也排除在外。

再者,现在越来越多诈骗通过社交媒体和电商渠道进行,这些业者没包括在框架内。

等到框架落实,距离当初提出的时间点已经两年多,这期间人工智能发展迅速,框架是否足以应对新型骗局?

由于涉及课题复杂,利益相关者众多,类似框架必定不是短时间内能拟定并通过的。

期望政府和业界担起大部分责任是不现实的,这只会让消费者放松警惕,增加业者的运作成本,这到头来还是由所有消费者来承担。

当新型骗局浮出水面,最关键的防线还是自己。不论政府和银行多努力加强措施反诈骗,消费者都应该随时保持警惕,看好自己的钱财。