社交媒体平台松散的行销机制容易让骗徒钻空子,滥用赞助广告、暗帖,加上虚假耸动的内容,只需投入几十元成本,就可撒大网,触及上千名受众,结果总有人会被“钓”上钩。受访专家说,社媒用户的公开资料,正好让骗徒量身定制“剧本”,公众得擦亮眼睛掂量内容真伪。
骗子近来不时冒充公众人物、政府机构和新闻媒体,利用人工智能技术散布假消息,防不胜防。例如:冒充国务资政夫人、淡马锡前首席执行长何晶,介绍赚钱理财计划;假冒主流媒体如《联合早报》《海峡时报》,以及亚洲新闻台网页宣传非法赌博网站或借机盗取用户资料等。这些假信息散播的速度总是快于举报速度。
针对社媒骗局,Black Duck Software东南亚软件科技工程总监林素安说,社媒平台的核心说白了就是建立社交关系,用户公开显示的生日日期、地址、亲友和活动,都能为骗子所用。社媒受众群庞大,不是每个用户都有足够的警戒心。
卡巴斯基全球研究与分析团队专家维塔利·卡穆鲁克(Vitaly Kamluk)说,脸书尚未全面落实身份验证、安全支付等保障措施,很容易被诈骗团伙所利用。用户随意点击弹窗式广告、看到优惠活动立马注册账户给资料,也会导致骗案频发。
骗子用暗帖功能 针对特定群体发布诈骗广告
骗子行骗的其中一个伎俩是利用脸书暗帖(dark post),这能让他们藏形匿影,规避审查。Check Point Software Technologies新加坡安全工程主管阿披舍克(Abhishek)解释,暗帖功能本是允许广告投放者,根据人口数据、行为特点、位置和兴趣爱好,客制化推广帖子给特定受众,而不显示给其他用户。
这常见于脸书、Instagram、X和LinkedIn等社媒平台,一般被标注为“赞助内容”。阿披舍克说,有骗子钻空子使用暗帖功能,针对某个群体发布诈骗广告。基于暗帖的隐蔽性,追踪和举报愈发变得困难。
他说,脸书的广告设置流程相对简单,只须经过最低程度的验证,就能创建账户和发布付费帖子,若进一步滥用定向功能增加诈骗帖子的能见度,还可以轻易触达对骗案较不防备的受众。“脸书广告有审核机制,但鉴于广告投放的规模和多样,平台难以监管和删除所有诈骗内容。”
可从不自然脸部表情及唇动等识别假图像
Keeper Security首席执行官兼联合创办人戴伦(Darren Guccione)说,冒充新闻媒体的骗子,倾向于用耸动标题、人工智能生成的图像来激起人们的恐惧或兴奋的情绪,进而点击阅览文章。深伪技术愈发成熟,高仿画面的真假愈难辨别,但还是可从不自然的脸部表情、唇动、语气停顿等蛛丝马迹,识别这些假图像。
卡穆鲁克说,多数诈骗手段都离不开社会工程学(social engineering)技巧,围绕人们的思维和行为展开来操纵受害者。“这就是为什么骗子冒充新闻媒体,窜改部分内容以假乱真,或拷贝某媒体创建假网页,散播假消息诱骗。”
派拓网络(Palo Alto Networks)新加坡、柬埔寨、老挝、缅甸和文莱地区总监蔡沄芳说,诈骗门槛如今更低,例如不法分子可在暗网轻易获取网络钓鱼即服务(PhaaS)管理模版,挑选想要假冒的页面,发布到社媒上行骗。过去一年,公司持续监测一个名为“Sniper Dz”的PhaaS平台,发现它制造了大约14万个钓鱼网站。“根据难易和质量,制作一个深伪视频的成本从区区60元到500元不等。”
她说,社媒公司可采取多重措施保障用户安全,例如加强身份验证功能来杜绝假账号,以及使用人工智能驱动的工具,实时监测重复登录、群发同一信息等诈骗行为。妥善利用人工智能可减轻人员负担,专注策略问题,也可及早识别网络新威胁。
警方早前公布的诈骗数据显示,今年上半年,本地共发生347起社交媒体冒充骗案,损失金额约180万元。
