撰文 麻愷晅
全台月損 60 億!當詐騙集團靠深偽、暖心劇本把人騙得團團轉,銀行如何用 AI 反制?
下班前,你收到財務長的訊息,對方說公司將進行業務重整,並預告之後會有線上會議,還提到會有律師事務所的人跟你聯繫。沒多久,一名律師來電,請你簽署保密協議。
隔天,你依照通知準時參與會議,執行長、財務長都在線上。會後,律師寄 email,要你將錢從公司帳戶匯入指定帳戶,你會怎麼反應?
深偽影像、「客製化」詐騙劇本太逼真,一不留神就中招
如果你選擇匯款,可能就成了詐騙受害者。
為了從特定目標身上,獲得可觀的金錢回報,詐騙集團會運用深度偽造(Deepfake)技術捏造影像、聲音,讓人信以為真。這樣的手法就曾在香港的公司發生,遭詐金額達 8 億元。
詐騙集團也會緊跟時事,用 AI 生成圖文、假網站,在社群上發布內容。近期政府普發一萬元,詐騙集團就製作假網站,因為他們知道這件事跟 2300 萬人有關,分母大,受騙者的數量就可能提升。
還有一種情況,表面上看起來甚至不像詐騙。前刑事局預防科科長、銘傳大學犯罪防治學系助理教授林書立表示,詐騙集團會透過社群噓寒問暖、長期陪伴,藉此獲取目標的信任,並根據他們的個性,量身打造詐騙劇本。
手法五花八門,人們只要一個不留神,便可能上當。根據內政部警政署「165 打詐儀錶板」統計,今年 10 月,全台財損金額達 60 億 4400 萬元。
錢一旦被轉到境外,往往難以追回。這也凸顯出金融機構在阻詐上的關鍵角色,只要能及時攔阻金流,或是更早偵測可疑帳戶,便能降低被害人損失,截斷詐騙行為的發展。
玉山、國泰建立 AI 偵測模型,分秒內攔截金流
然而,這是一場與時間賽跑的攻防戰。玉山金控科技長張智星表示,當銀行能在 5 分鐘內阻斷金流,詐團就會設法在 3 分鐘內將金流轉到境外。因此,運用 AI 阻詐,成為金融業者必要且唯一的手段。
目前許多業者會建立 AI 偵測模型,偵察可疑帳戶。舉例來說,當金流很快進到某個帳戶,然後很快又轉走,被 AI 偵測到之後,帳戶就會被系統暫時鎖定。
但如果採日批處理,等到發現異常時,錢可能早已被轉走。所以玉山銀行、國泰世華銀行,都調整偵測頻率。玉山測試不同的偵測頻率,分別需要多少運算時間,以及模型的準確度表現。最後,他們讓 AI 防詐偵測模型每 5 分鐘掃描一次帳戶,能攔截 95% 的異常金流。
國泰則是將時間縮短到每 10 秒一次,希望在交易發生的幾秒後,及時攔阻。面對不斷變化的詐騙手法,國泰世華銀行數據生態營運部門協理高秋蓉表示,他們也建立 no-code 的 Fraudar 平台,讓臨櫃人員即時記錄可疑樣態。至於更複雜或是需要建模的情境,則由數據分析師負責。
而金融業者同樣面臨的難題是:網子的洞到底要開多大?如果希望抓到更多可疑帳戶,就必須把洞開大,但這樣做,好魚也可能被抓到。
玉山的方法是動態調整門檻值,並排除特定交易行為,減少帳戶遭誤鎖的情況,除非行為太像可疑帳戶。國泰則採用人機協作(Human-in-the-loop),高秋蓉分享,他們的機制是讓 AI 加速偵測,並由人員介入評估、進行風險分級,而不是直接鎖帳戶。針對低風險或中度風險的帳戶,前線人員會善意提醒;高風險的帳戶則會提前介入,以保護客戶的資產安全。
打詐從銀行大門開始,ATM 提領現金也是重要一環
除了建置模型,銀行也把防線往前拉。中信銀行數位科技處處長暨資深副總經理王俊權表示,現金提領已成詐騙鏈的重要節點,所以需要結合科技,強化 ATM 行為辨識與風險預警。
中信銀行在他們的智能 ATM 導入 AI 臉部辨識技術。如果發現使用者的臉部被口罩遮住,或是邊講電話邊操作 ATM 等風險跡象,就會跳出警示訊息提醒使用者,降低詐騙集團以遠端遙控或車手代領的成功率。
玉山銀行則將 ATM 附近的監視器影像,切成一幀幀的圖像,讓大型語言模型辨識。張智星舉例,車手領錢後通常不會點鈔,AI 會計算影片中「未點鈔」畫面的比例,判斷是車手的可能性。銀行藉此掌握可疑帳戶的使用時間與行為特徵,提供給 AI 模型學習。一旦異常特徵累積到一定程度,該帳戶就可能被標示為警示帳戶。
防詐不能只靠銀行!專家呼籲:落實「零信任」原則
重要的第一道防線,也包含臨櫃人員。國泰世華銀行在臨櫃攔阻方面成效顯著,根據內政部警政署統計,國泰世華銀行臨櫃攔阻成功件數、金額位居前段班。但做這件事情並不輕鬆。
國泰世華銀行洗錢防制部協理暨反詐騙小組組長林純良坦言,「找客戶麻煩就是找自己麻煩,沒有人想要找自己麻煩。」而且當民眾深陷在詐騙集團的甜言蜜語裡,反而會將行員視為阻礙他們實現夢想的壞人。公司內部也因此設立獎勵機制,鼓勵成功攔阻的員工。所以即便會讓客戶不開心、影響作業效率,他們還是會盡力勸說。
然而,無論銀行防詐機制如何精進,關鍵還是在人本身的警覺心。林書立表示,很多人認為自己不會被騙、不會輕易給錢,但詐騙集團現在也不會一開始就要你掏錢,而是先騙走你的信任,「人不可能完全不被騙,聽其言、觀其行已經不夠。」
他提醒,接到任何訊息,不要立即回答,或是照著對方的指示行動,而是先從其他管道主動求證。必須落實「零信任」的原則,即便對方掌握你的個資,也不能因此輕信。
核稿編輯:王宥筑
