网络诈骗早已不是什么新鲜事。然而，随着深度伪造技术不断升级，网络诈骗的手段也逐渐“反套路化”、令人防不胜防。

(资料图)

近日，包头警方发布一起利用AI实施电信诈骗、涉案金额高达430万的典型案例。此外，类似的AI换脸诈骗案件，最近在安徽也有发生，涉案金额达到245万。

可以看到，借助AI手段，诈骗手段在升级，甚至可以“定制”一套诈骗的信息——包括使用亲朋好友的人脸和声音。对此，普通人又该如何识别和防范？这类AI诈骗的技术原理是什么，是否可以避免？

1

“高端”骗局，“定制”诈骗

据包头警方介绍，今年4月，福州市某科技公司法人代表郭先生的好友突然通过微信视频联系到他，两人经过短暂聊天后，好友告诉郭先生，自己的朋友在外地投标，需要430万元保证金。

基于视频聊天信任的前提下，郭先生没有核实钱是否到账，先后分两笔把430万元给对方打了过去。钱款转账后，郭先生告知好友事情已经办妥。但对方却完全不知道发生了什么，他这才意识到竟然遇上了“高端”骗局，对方在盗号后通过智能AI换脸技术，佯装成好友对他实施了诈骗。

“从头到尾都没有和我提借钱的事情，就说会先把钱给我打过来，再让我给他朋友账户转过去，而且当时是给我打了视频的，我在视频中也确认了面孔和声音，所以才放松了戒备。”郭先生说。

这并不是深度伪造第一次被用于诈骗，今年4月，安庆经开区发生一起“冒充熟人”诈骗案，经开公安分局反诈中心民警调查发现，诈骗分子使用了一段9秒钟的智能AI换脸视频佯装“熟人”，让受害人放松警惕从而实施诈骗。但在这起案件中，骗子使用AI合成视频、拨打了受害人的视频电话9秒后便挂断，并表示在会议中有重要事情交代，需要受害人添加QQ沟通。

在国外也有类似利用AI技术实施诈骗的案例。

2020年初，阿拉伯联合酋长国的一位银行经理被骗走3500万美元：他接到了曾交谈过的一位公司董事的电话，对方称为了进行收购，需要银行批准一个高达3500万美元的转账，还聘请了一位名叫Martin Zelner的律师来协调程序，银行经理可以在收件箱中看到这位董事和Zelner的电子邮件，确认转账金额和收款账户。银行经理认为一切看起来都是合法的，于是开始转账，不料陷入圈套。

此外，华尔街日报曾在2019年报道欺诈者用深度伪造语音技术冒充英国一家能源公司的首席执行官诈骗了24万美元。

2

诈骗是如何被实施的？

那么，犯罪分子究竟是怎么一步步锁定郭先生、并偷走郭先生朋友的人脸信息呢？网络安全专家张威对南都记者表示，在郭先生的情况中，有可能是他自己或是他朋友的微信信息被盗取后，犯罪分子特别选取了他定制诈骗。至于盗取的方式，则有可能是通过诸如清粉工具的微信工具做到的。

“早期的时候这种清粉工具其实是一个网页微信，在网页上装了一个壳，诱导用户登录系统工具的时候，它就采集了用户的好友信息，然后把信息卖给下游产业。”

而在获取用户信息后，犯罪分子会根据号主的聊天记录分析用户的好友关系和金融情况，进入“定制诈骗”的流程：“比如我发现你的好友关系很简单，主要是父母等家人朋友，聊天记录显示在留学，那么我就把这一类的归成留学生。再高价卖给某种商家，他们再去诈骗。”

选定目标后，犯罪分子可能利用了诸如社工库中的肖像库，直接通过捏脸技术数据演练，以此绕过人脸识别机制。至于声音——则可以通过聊天记录中的语音信息进行训练。此后，通过简单的接入，犯罪分子就可以熟稔地戴着一张假脸、使用变声器通过视频通话对受害者进行诈骗了。

3

专家：平台应加强对AI合成内容的审核

在这样完备的骗局下，普通受害者辨认出诈骗的几率少之又少。而也这意味着，包含声纹、面部识别等验证方式都有可能被用技术手段突破。

对此，张威认为，除了用户做好个人信息保护，尽量少将肖像信息上传到网络或提供给第三方，并要明确第三方信息存管的方式之外，更大的责任应该由平台承担。

张威认为，在新的监管风险之下，平台应当提出新的应对方式，如验证用户发布的信息是否包含他人肖像、是否取得他人的知情同意，“未来比方说用户发布带有肖像的视频内容，要通过一个流程，至少要验证这些内容不会对其他用户造成侵权伤害，或者要求上传信息的用户提供授权信息。”此外，平台也应当对AI合成的内容进行审核，并做出显著标识。

具体到郭先生的案件中，张威认为面对这种人脸滥用的新问题，平台应当进一步加强验证用户实名的义务，在用户发布肖像信息的时候，强制验证肖像来源与授权。因为微信在注册时已获得用户的实名制信息，因此也有义务在用户发布视频肖像时验证是否是本人，或授权肖像。

清华大学交叉信息研究院助理教授于洋也秉持类似的观点。他认为，平台对于此次的案件需要负有相当大的责任，“比如（郭先生损失的钱）没有追回来，谁来赔？我认为应该落实平台责任，钱在哪个平台上被骗走的就应该由哪个平台负责。”

针对近期频发的AI诈骗事件，中国互联网协会于5月24日发布了专门的提示，告知用户在转账汇款、资金往来这样的典型场景，要通过回拨对方手机号等额外通信方式核实确认，不要仅凭单一沟通渠道未经核实就直接转账汇款。

同时建议用户在日常生活中，加强个人信息保护意识，防止信息泄露：不轻易提供人脸、指纹等个人生物信息给他人；不要轻易透露自己的身份证、银行卡、验证码等信息；不要贪图方便把身份证、银行卡照片等直接共同存放于手机内。

采写：南都记者胡耕硕