簡介
Microsoft 致力持續強化其平台的安全防護,保障客戶免受各類詐騙及濫用威脅。從阻擋 Azure 上的假冒帳戶、在 Edge 中整合先進的反詐騙功能,到運用 Windows 快速助手的新功能打擊技術支援詐騙,本期《Cyber Signals》將深入探討 Microsoft 為保護客戶安全所採取的各項措施及重要里程碑。
網絡安全概覽
於 2024 年 4 月至 2025 年 4 月期間,Microsoft
- 阻截 40 億美元的詐騙活動
- 駁回 49,000 份偽造合夥人註冊申請
- 每小時攔截約 160 萬殭屍裝置註冊嘗試
AI 網絡欺詐的演進
AI 開始降低騙徒及網路犯罪份子尋找生產力工具的技術門檻,令生成可信攻擊內容變得越來越容易及便宜。從被濫用於惡意活動的合法應用程式,到地下網絡犯罪份子所使用、以詐欺為導向的工具,可見用於詐欺企圖的 AI 軟件種類越漸繁多。
AI 工具可以在網絡上掃描和搜刮公司資訊,協助攻擊者建立員工或其他目標的詳細帳戶,以建立極具說服力的社交工程誘餌。在某些情況下,攻擊者利用 AI 增強的虛假產品評論和 AI 生成的網店,引誘受害者進入日益複雜的騙局,騙徒在這些網店頁面中創建整個網站和電子商務品牌,並提供虛假的企業歷史和客戶分享。透過使用深偽內容、語音複製、網絡釣魚電郵和幾可亂真的虛假網站,威脅者試圖在更大範圍建立詐騙內容。
根據 Microsoft 反詐騙團隊,AI 驅動的網絡欺詐活動已形成跨國威脅格局,主要攻擊集中於中國及歐洲地區。其中,德國更因作為歐盟最大電子商務及線上服務市場,成為重點攻擊目標。由此可見,無論身處何地,數碼市場規模愈大,所遭受的詐騙風險亦會相應提升。
電子商務詐騙
以往,威脅者需花費數天甚至數週時間才能建立一個看似真實的網站。但現在,透過 AI 及其他相關工具,即使只有最低限度的技術知識,亦可在幾分鐘內生成電子商務詐欺網站。這些詐騙網站通常會仿效合法網站,令消費者難以識別真偽。
威脅者利用消費者對熟悉品牌的信任,使用 AI 生成產品說明、圖片和客戶評論,誘騙他們相信自己正與真正的商家互動。
透過高度可信的互動,AI 驅動的客戶服務聊天機械人令詐騙加入另一層複雜性。這些機械人可以透過預先編寫的藉口拖延客戶,從而延遲退款的處理,並利用 AI 生成的回應來操控投訴,令詐騙網站看起來專業可信。
Microsoft 採取多管齊下的策略,在旗下產品及服務中實施強效防護措施,以保障客戶免受 AI 驅動的詐騙威脅。Microsoft Defender for Cloud 為 Azure 資源提供全面威脅防護,包括針對虛擬機器、容器映像及端點設備的漏洞評估與威脅偵測。
Microsoft Edge 配備「網址拼寫錯誤保護」及「域名偽裝防護」功能,透過深度學習技術協助用戶避開詐騙網站。Edge 同時設有基於機器學習的「恐嚇軟件攔截器」(Scareware Blocker),能識別並封鎖潛在的詐騙網頁,以及那些聲稱用戶電腦已受感染、意圖恐嚇使用者致電虛假支援熱線或下載惡意軟件的欺詐性彈出式警告畫面。
工作與就業詐騙
生成式 AI 的迅速發展讓騙徒更容易在各大求職平台上發佈虛假職缺。他們會盜用他人資料開設虛假帳戶、利用 AI 自動生成職位描述,並透過 AI 發送偽冒電郵來誘騙求職者。AI 驅動的面試及自動回覆電郵更進一步增加求職騙局的可信性,令求職者更難分辨真偽。
為防止這類情況發生,求職平台應為僱主帳戶引入多重要素驗證 (MFA),防止不法份子盜用合法僱主的身份,並採用現有的詐騙偵測技術以篩查可疑內容。
騙徒通常會以核實申請人資料為由,要求申請人提供個人資料,如履歷、甚至銀行帳戶等詳細資料。不明來歷的短訊或電郵,如聲稱以最低的資格獲取高薪的工作機會,通常是詐騙陷阱。
此外,若工作邀請涉及支付任何費用、報酬高得難以置信、透過短訊發出面試邀請,以及缺乏正規的溝通渠道,均可能是詐騙的警號。
技術支援詐騙
技術支援詐騙是一種詐騙手法,騙徒會誘騙受害人接受不必要的技術支援服務,以修復其設備或軟件中根本不存在的問題。
即使未涉及 AI,技術支援詐騙仍屬高風險詐騙之一。例如, Microsoft Threat Intelligence 於 2024 年 4 月中旬,發現一個以勒索軟件為目的、具財務動機的網絡犯罪集團 Storm-1811 ,濫用 Microsoft 快速助手 軟件,冒充 IT 支援人員。Microsoft 並未發現這些攻擊中有使用 AI 技術。相反,Storm-1811 透過語音網絡釣魚(vishing)等社交工程手法, 冒充合法機構,誘使受害人透過快速助手授予他們對裝置的存取權。
到了 2024 年 5 月,Microsoft Threat Intelligence 觀察到 Storm-1811 利用 Microsoft Teams 聯絡目標用戶,發動語音網絡釣魚攻擊。
針對 Storm-1811 及其他相關組織的攻擊行動,Microsoft 已採取應對措施,包括暫停所有被識別為涉及不實行為的帳戶及租戶。若你收到來歷不明的技術支援邀請,這很可能是詐騙。請務必透過可信賴的來源尋求技術支援。如對方聲稱來自 Microsoft,我們鼓勵你透過以下連結直接進行舉報:https://www.microsoft.com/reportascam。
這些攻擊者會利用多種工具與技術,在網上搜尋企業資訊、建立員工詳細資料,並透過電郵、短信或其他渠道發出極具說服力的社交工程訊息進行誘騙。
一旦騙徒成功取得遠端存取權限,便可存取受害人電腦及其所連接網絡中的所有資料,甚至安裝惡意軟件以竊取敏感資料。
在這些攻擊情境中,快速助手和 Microsoft 並未遭到入侵。然而,Microsoft 正致力降低合法軟件被不當利用所帶來的風險。憑藉對不斷演變的攻擊手法的深入理解,Microsoft 的反詐欺團隊與產品團隊緊密合作,持續提升用戶透明度,並加強詐騙偵測技術。
Microsoft 建基於所提倡的安全未來倡議(Secure Future Initiative, SFI),以積極部署確保產品和服務在設計的階段已經以防範詐騙為依歸,並於 2025 年 1 月推出一個新的防範詐騙策略——Microsoft 產品研發部門必須在設計過程中進行相關的評估和詐騙風險管理。
建議:
- 加強僱主身份認證:騙徒經常挪用真實的企業資料或僞造招聘者身份,以欺騙求職者。為防止以上情況,求職平台應為僱主帳戶加入 Entra ID 中的多重身分認證和驗證識別碼,使未經授權的用戶難以盜用帳戶。
- 偵測以 AI 驅動的求職詐騙:企業應運用偵測深僞技術的演算法,以不自然的面部表情或語音模式等特徵識別由 AI 驅動的面試過程。
- 謹慎應對看似過於理想的招聘網站和廣告:檢查網站是否設有安全連結(https),並使用 Microsoft Edge 的網址錯別字保護設定等工具來驗證網站的真確性。
- 避免向未經驗證的來源提供個人資訊或支付方法的詳情:留意招聘廣告中隱含的警號,例如要求求職者付款、通過非官方平台(如短訊、WhatsApp、非企業版的 Gmail 帳戶等)溝通,或在個人設備上聯絡其他人以獲取更多資訊等。
防禦攻擊
以 Microsoft 的安全訊號打擊詐騙
Microsoft 積極以 AI 研發大規模檢測模型,透過運用 AI 和其他技術來阻止詐騙事件發生,當中包括以機器學習理解、應對和防禦詐騙攻擊。機器學習是一個幫助電腦在沒有用戶的直接指引下,使用演算法在大規模數據庫中尋找相似模式的過程。這些模式隨後便會用以構建一個全面的 AI 模型來進行高準確度的預測。
我們已研發產品內置的安全控制功能,能夠就潛在的惡意活動警告用戶,並整合快速偵測和防禦新型攻擊的功能。
在創建域名的階段,我們的反詐騙團隊亦以深度學習技術研發了防範冒充域名的保障,協助打擊僞冒電子商務網站和虛假招聘廣告。Microsoft Edge 已在應用網址錯別字保護設定,同時,我們已為 LinkedIn 研發 AI 驅動的虛假招聘訊息偵測系統。
Microsoft Edge 中一個主要防禦是 ScamSLMer,亦稱為恐嚇軟件攔截器(Scareware Blocker)。恐嚇軟件攔截器保障用戶免受濫用全屏模式的可疑網站影響,並透過與 WDS-SmartScreen 團隊的人類評核員和機器學習雲端分享資訊以協助用戶。在快速審查後,終端用戶報告的惡意網站將被 WDS-SmartScreen 攔截,保護所有未來的使用者。
Microsoft Defender Smartscreen 是一項基於雲端的安全功能,旨在透過分析網站、檔案和應用程式的聲譽和行為來防止不安全的瀏覽習慣。相關功能已整合在 Windows 系統和 Edge 瀏覽器中,協助保護用戶免受網絡釣魚攻擊、惡意網站和潛在有害的文件下載所傷害。
此外,Microsoft 數碼罪行團隊(Microsoft’s Digital Crimes Unit, DCU)與私營和公共部門的不同機構合作,破壞罪犯用以進行網絡欺詐的惡意基礎設施。該團隊與全球各地的執法機構長期合作,打擊技術支援詐騙,成功協助數百名罪犯被捕,並推動各地實施更具阻嚇性的監禁刑期。Microsoft 數碼罪行團隊正透過應用在過去行動中獲得的經驗,制止試圖濫用生成式 AI 進行惡意或欺詐活動的罪犯。
快速助手功能及遠端協助對抗技術支援詐騙
為協助打擊技術支援詐騙,我們已在快速助手中加入提示訊息,在使用授權他人遠端存取前發出警示,提醒他們提防冒充IT部門或其他技術支援人員的詐騙行為。
Windows 使用者必須閱讀並確認了解授予裝置遠端存取權的安全風險。
Microsoft 透過其安全訊號,大幅加強針對 Windows 使用者的快速助手保護。針對技術支援詐騙和其他威脅,Microsoft 現時平均每天封鎖 4,415 次快速助手的可疑連線活動,佔全球連線活動約 5.45%。封鎖揩施均針對可疑的連線,如與惡意攻擊者相關或身份未經驗證的連線。
Microsoft 持續專注改善快速助手的保護措施,以對抗適應力強的網絡犯罪份子。這些犯罪份子在過往主要以個人用戶為攻擊目標,伺機進行詐騙連線活動,但最近卻轉向以企業為目標,進行更有組織的網絡犯罪活動。Microsoft 的保護措施已協助瓦解這些網路犯罪活動。
Microsoft的 Digital Fingerprinting 功能以 AI 及機器學習提供詐騙及風險訊號,以偵測可疑活動,從而提動相關防護措施。若我們的風險訊號偵測到可疑詐騙,快速助手的對話即自動結束。Digital Fingerprinting 透過收集各種訊號來偵測及預防詐騙。
對希望打擊技術支援詐騙的企業而言,遠端協助是員工的另一項寶貴資源,並專為企業內部使用而設。
透過減少詐騙和欺詐活動,Microsoft 致力提升產品整體安全性,保護使用者免受惡意活動的侵害。
保障消費者貼士
騙徒利用心理誘因,如逼切感、稀少性,以及大眾口碑來建立信任。消費者應謹慎提防以下情況:
- 衝動消費—騙徒利用「限時」優惠及倒數等技倆營造逼切感。
- 信任虛假的口碑—AI 能產生虛假的評論、網路紅人的認可及推薦,以假亂真。
- 未經驗證就點擊廣告—許多詐騙網站都是透過 AI 生成的社交媒體廣告來散播。消費者應在購物前小心檢查網域名稱和評論。
- 忽略付款安全—避免直接經銀行轉帳或以加密貨幣付款,因為這款付款方式缺乏詐騙保護。
求職者應核實僱主身份,提防常見的工作詐騙的危險訊號,並避免與身份未經驗證的僱主分享個人或財務資訊。
- 核實僱主身份—在 LinkedIn、Glassdoor 及公司官方網站查核資料。
- 留意常見求職騙案的危險訊號—如入職前要求事先付款,例如購買培訓資料、考取證書或進行背景審查,很大機會是騙案。遇到報酬過高、無需經驗的遙距工作機會,亦應提高警覺。此外,如收到以免費電郵域名(例如 [email protected],而非 [email protected])發出的求職相關電郵,通常亦屬可疑訊號。
- 提防 AI 生成的面試或溝通內容 — 如視像面試出現嘴型與語音不同步、語調機械化,或表情不自然等情況,有可能是深偽(deepfake)技術所製造的假影像。求職者在深入對話前,應先透過公司官方網站核實招聘人員的身份,以保障自身安全。
- 避免分享個人或財務資料—無論在任何情況下,都不應向身份未經核實的僱主提供個人證件號碼、銀行資料或登入密碼等敏感資訊。
Microsoft 亦是全球反詐騙聯盟 (GASA)的成員之一,旨在聚集各地的政府、執法部門、保障消費者組織、金融機構及供應商、品牌保護機構、社交媒體、網絡服務供應商及網絡安全公司,共享知識,保障消費者免受詐騙。
建議:
- 遠端協助:Microsoft 建議內部技術支援改用遠端協助,取代快速助手。遠端協助專為企業內部使用而設,具備多項防範技術支援詐騙的安全功能。遠端協助僅限於企業內部使用,提供比快速助手更安全的替代方案。
- Digital Fingerprinting:Microsoft 的數碼指紋功能可以識別惡意行為,並與特定用戶連結,有助監察及防止未經授權的存取。
- 阻截全面控制權限的請求:快速助手包括警告及要求使用者確認了解分享螢幕的安全性影響。這項設計加入了一層有效的「安全阻力」,提醒可能正在分心或同時處理多項工作的使用者暫停一下,完成授權步驟。
Microsoft 安全部門 CFAR 欺詐防護副總裁 Kelly Bissell 指:「現時,我們能有機會更快地採用AI,從而幫助我們快速側測及縮小受攻擊的接觸面。」
Microsoft 平台和服務包括 Azure、Microsoft Defender for Office、Microsoft Threat Intelligence 和 Microsoft 數碼罪行團隊(DCU),這些平台和服務提供有關威脅行為活動和趨勢的匿名資料。此外,Microsoft Entra ID提供有關威脅活動的匿名資料,例如惡意電郵帳號、網路釣魚電郵及攻擊者在網路中的行動。其他的洞見則來自於每天在 Microsoft 不同界面所獲得的安全訊號,包括雲、端點設備、智能邊緣,以及來自 Microsoft 平台和服務的遙測數據。Microsoft 及我們的消費者和企業客戶在 12 個月內的受欺詐和詐騙嘗試活動的總和達 40 億美元。
若希望進一步了解 Microsoft 安全解決方案,請瀏覽 Microsoft 網站。將安全性網誌加入書籤列,以跟進我們對安全性事項的報導。此外,請在 LinkedIn (Microsoft Security) 和 X (@MSFTSecurity) 上關注我們,以取得網路安全的最新消息和更新。