
隨著人工智慧技術進步,詐騙集團利用生成式AI與深偽技術發動更逼真的社交工程詐騙,導致企業損失金額屢創新高,僅2025年美國資料外洩平均成本就達1,022萬美元,各國監管機構已加強審查,促使企業須強化員工訓練與資安防護。
隨著人工智慧(AI)技術快速發展,企業正遭遇一波由AI驅動的社交工程詐騙浪潮。這類高度鎖定的詐騙活動,利用AI生成逼真的文字、語音和影像,誘騙企業內部人員洩露敏感資訊、授權詐欺性交易或未經授權存取關鍵系統,其規模與複雜度均大幅攀升。
根據聯邦調查局(FBI)報告,2025 年美國網路犯罪總損失已超過 200 億美元,其中超過 30 億美元與商業電子郵件詐騙有關。資安公司 KnowBe4 於 2026 年 4 月發布的報告顯示,網路釣魚攻擊在過去六個月內增加了 17.1%。單次成功的攻擊不僅會導致資料外洩、監管調查與民事訴訟,更會對企業聲譽造成長期損害,2025 年美國資料外洩事件的平均成本高達 1,022 萬美元。
詐騙者日益運用深偽技術(透過AI合成高度擬真的音訊與影像),利用公開可得的聲音、筆跡等資訊來模仿組織內部或外部的聯繫對象。2025 年 5 月,聯邦調查局曾發布警示,指出有惡意行為者冒充美國政府高階官員,透過文字和AI合成語音管道,引導收件人點擊惡意連結。詐騙者常冒充高階主管、第三方顧問(如外部律師)或 IT 部門人員,利用員工傾向服從權威的心理,要求緊急或秘密的資金轉帳。
大型語言模型(LLMs,一種能理解並生成人類語言的AI模型)讓詐騙者能大規模產生潤飾精良、具說服力的詐騙電子郵件,並從領英(LinkedIn)等公開平台收集資料,量身打造攻擊內容。詐騙者甚至會要求目標員工簽署保密協議,以推進虛假的併購交易,並強調其保密性,阻止員工向高階主管或法務部門諮詢,藉此規避內部查核。
因應新興威脅,各國監管機構已強化對企業資安的審查。例如,對於有義務向美國證券交易委員會(SEC)揭露資訊的公司,SEC 的網路安全揭露規則要求在確定重大網路安全事件後,通常需在四個工作天內進行揭露。歐盟金融實體依《Digital Operational Resilience Act》規定,在確定為重大事件後的四小時內,以及從首次發現事件起的 24 小時內,均須啟動初步通報。同時,《一般資料保護規範》(GDPR)及其他隱私法規,也要求在資料外洩後通報主管機關及受影響個人。主管機關與執法單位日益期望企業採行基於風險的治理、分層技術控制、強健的身分驗證程序,以及適當的董事會與管理層監督。
為此,企業應定期實施強制性員工訓練,特別針對深偽辨識和AI生成通訊內容的識別。針對高階主管、財務人員及資訊科技(IT)員工等高價值被冒充目標,應提供更具針對性的訓練。企業亦應強化財務控制,實施多層級核准機制以進行資金轉帳,並對透過電子郵件收到的所有財務請求,透過次要且獨立的管道(如安全訊息平台或已知電話回撥)進行驗證。同時,應利用AI驅動的內容偵測技術,輔助傳統電子郵件過濾系統,並重新評估多因子驗證(MFA,除了密碼外,還需額外驗證步驟才能登入的方式)的實施方式。此外,確保網路保險(cyber insurance)涵蓋AI驅動的社交工程詐騙,並具備足以應對潛在損失的額度,也至關重要。企業應維持穩健的事件應變計畫,並定期透過桌面演練進行測試。
