AI驱动的网络钓鱼：骗子如何利用人工智能针对你

常见手法

• • AI分析你的LinkedIn资料、Instagram历史和邮件元数据，识别你的职位、经理姓名、近期项目和沟通模式，然后生成高度个性化的钓鱼邮件，引用只有你真实同事才知道的具体细节。
• • 骗子利用深度伪造视频技术制作你CEO、人力资源主管或银行经理的逼真视频，要求紧急电汇或密码重置，视频中的面部表情、语音模式和办公背景均取自公开视频。
• • 语音合成AI复制可信联系人准确的声音特征、口音和说话方式，实现电话钓鱼，受害者会听到熟悉的声音在紧急情况下请求敏感信息。
• • 机器学习模型克隆合法银行或公司的邮件模板、品牌标识、安全警告和页脚信息，甚至融入真实的近期交易历史以增强可信度。
• • AI聊天机器人与受害者进行逼真的多轮对话，提出探查性问题以建立信任，逐步获取凭证，而非一次性发送明显可疑请求。
• • 骗子利用AI生成假但合理的员工证件、安全徽章和内部文件，符合你组织的设计标准，使虚假的权威声明看起来合法。

如何识别

• 你收到一封来自CEO或经理的邮件，要求紧急操作（密码重置、电汇、凭证验证），邮件品牌完美且引用具体项目，但发件人邮箱地址有细微差别，如将“com”写成“c0m”或使用相似域名。
• 来自可信联系人的视频通话或录制信息在时间或唇动上略显异常，出现不自然的停顿、机械式眼球运动或与其常用环境不符的光线问题。
• 你接到自称银行反欺诈部门的电话，使用你的真实账户号码和近期交易细节，但要求提供真实银行绝不会索取的敏感信息。
• 来自内部IT或人力资源的邮件使用你公司完全相同的格式和标志，但要求点击链接“验证账户”或“确认身份”，尤其是在制造不存在的安全事件紧迫感时。
• 你注意到视频通话中对方的背景、服装或环境与其LinkedIn资料或公司网站上的公开信息完全一致，显得几乎像是布景或CGI制作。
• 消息对话自然流畅却过于完美——对你近期生活事件的引用异常准确，使用内部笑话时机恰当，甚至在你表达异议前就已预料到。

如何保护自己

• 对所有邮箱、银行和金融账户启用多因素认证（MFA），优先使用认证器应用而非短信验证码，因后者更易被AI驱动的攻击截获。
• 建立带外验证流程：收到高管或金融机构的紧急请求时，务必通过独立查找的电话号码回拨，切勿点击邮件中的链接或拨打邮件提供的号码。
• 使用Google Lens或专业深度伪造检测软件对可疑视频进行反向图像和视频验证，注意AI痕迹如不自然的皮肤质感、眼球运动或背景瑕疵。
• 培养识别社交工程的能力，遇到声称紧急、系统故障或需立即处理的请求时，至少暂停10分钟再回应，合法机构会等待适当验证。
• 在公司域名上配置邮件身份验证标准（SPF、DKIM、DMARC），并在邮件客户端启用严格验证标志，突出显示未认证或伪造邮件，发现认证钓鱼立即报告IT安全团队。
• 与可信联系人（家人、亲密同事、财务顾问）预先设定个人验证密钥或安全问题，收到紧急请求时，要求对方先回答此预设问题再继续操作。

真实案例

常见问题

本地举报渠道 — 中国大陆

您所在地区针对此类诈骗的官方举报渠道。