AI釣魚攻擊演進！教您如何看破偽造詐騙

AI釣魚攻擊不再只是粗糙大量撒網，而是能結合社交媒體資料做到高度個人化！面對 Deepfake 與偽造郵件，企業該如何因應？本文建議導入多層防護機制，並建立二次確認文化，協助您全面迎戰 AI 化的資安新威脅。

過去談到網路釣魚，多數人想到的都是文法錯誤很多、內容粗糙的詐騙信件，因此只要稍微留意，通常不難辨識。然而近一年來，隨著生成式 AI 技術快速普及，釣魚攻擊已經進入全新的階段。現在的攻擊者可以利用 AI 自動生成自然流暢的文字、模仿企業語氣，甚至偽造主管口吻與客服對話，大幅提升欺騙成功率。

近期許多資安研究都指出，AI 正在降低駭客發動攻擊的技術門檻。過去可能需要具備社交工程技巧與語言能力，如今只要透過 AI 工具，就能快速產生大量高品質的釣魚內容。甚至有部分惡意程式開始結合 AI，自動分析受害者背景後產生客製化攻擊訊息。

AI 釣魚攻擊最大的危險，在於它不再只是「大量撒網」，而是能做到高度個人化。舉例來說，攻擊者可能先從 LinkedIn、Facebook 或公司網站蒐集員工資訊，再利用 AI 生成符合職位、專案與語氣風格的信件。例如財務人員可能收到「主管要求緊急匯款」的郵件；工程師則可能收到「GitHub 權限異常通知」；一般員工甚至會收到看似真實的 Microsoft 365 登入驗證通知。

更進一步的攻擊，已經開始結合語音與影像 Deepfake 技術。近期曾有企業財務主管因接到「AI 模擬主管聲音」的視訊會議，而誤匯大量款項。這代表未來「看到或聽到本人」也未必可信。

這類攻擊帶來的風險非常直接。第一是帳號外洩，攻擊者取得企業信箱後，可能進一步入侵 VPN、雲端平台或內部系統。第二是勒索與橫向滲透，許多勒索軟體的第一步，其實就是透過釣魚信件取得初始權限。第三則是商業詐騙與金流損失，尤其在財務流程缺乏雙重確認時，風險更高。

面對 AI 釣魚攻擊，傳統「教育使用者不要亂點連結」已經不足。

一、企業應建立多層防護機制

(一) 啟用多因素驗證（MFA）

(二) 導入郵件安全防護（SPF、DKIM、DMARC）

(三) 限制帳號權限，避免單一帳號過度存取

(四) 建立異常登入與異常匯款警示

(五) 定期進行釣魚演練與社交工程測試

此外，也應建立「二次確認文化」。例如涉及匯款、權限變更或敏感資料傳送時，即使訊息看起來來自主管，也必須透過電話、內部通訊或面對面再次確認。

對一般使用者而言，最重要的是不要只相信「畫面看起來是真的」。現在的攻擊早已不只是拼字錯誤的假網站，而是可能連網址、排版、語氣都幾乎與官方完全一致。未來的資安防護，不只是防毒軟體與防火牆，而是建立對「數位真實性」的懷疑與驗證能力。

AI 正在改變資安攻防的平衡，而釣魚攻擊，很可能就是最先全面 AI 化的威脅之一。