2024-02-07深偽攻防戰

數天前，香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO，要求分行財務人員參加一場機密會議，騙徒透過深偽技術生成虛擬短片，在「視像會議」上向職員作出「投資」指示，要求轉賬大額金錢至不同戶口，其中更不以正面對答的形式，令受害人無法確認。受害人因為這個指示，真的執行了涉及2億港元的轉帳，之後與英國總部同事溝通時，發現受騙後報警。

Deepfake的出現，令以往我們常說的「P圖」變成更防不勝防。昔日有些相片因為能夠使用Photoshop去做幾可亂真的修改，令圖片往往給人一種並不可靠，不能成為佐證的感覺。而短片除了荷李活的級數外，普通人又真的相對不容易使用那些真假難辨的技術。

但到了現在，隨着科技的進步。網速的進步、電腦性能過剩、疫情後大家接受了網上會議，令駭客能使用的騙術靈活性大大的增加，亦令員工被騙的機會多了，防御困難了。

筆者這裡並不特別詳談Deepfake技術的破綻或者如何識辨，因為隨着科技的進步，只能說越來越難分別這種一如電影Matrix那種變身。也覺得有人建議指名會議參與者做一些動作去辨別是很困難。(試想想一個小職員在一些高管面前，說句話的機會可能也沒有，還要求高管先做些動作來看看？是不想幹了嗎？)

而這次的騙局，也明顯不是漁翁撒網式的釣魚詐騙，而是明顯衝着那個受害人而去的。而接觸到那位受害人的方式，告訴他是機密會議而發送會議連結等等。會否也能從收到的電郵、登入會議的人的ID等等看到一些端倪？

但其實在這個騙局的背後，是否有一些非技術可以防止這個結果的發生？

筆者暫時還沒找到受害人的公司是否已經有跟既定程序的去轉帳，但一般來說，不論金額多少在批准轉帳時都一定要做一些批准，這就是在審計上的一些權限、內控去看。某個金額可以少一些人簽名，超過某個金額就要多一些人簽名。而且更應該盡量使用親筆簽名，以確定並不是被騎劫的情況(以往就有些個客是高管電郵被駭而批准了請款)。如果是海外總部批准的，至少也要使用一些像Docusign的電子簽名方案，以確保每個程序都不是因一個人的失誤而造成損失。

在內控或者風險管理角度，這次情況我是奇怪一個人能動用的款項竟然是這樣如入無人之境。趟若這個崗位的人不是被騙局所騙也好，他自己一時神智不清是否也可以將款項胡亂發到其他人的帳戶。這情況就不是有沒有騙局找上門的問題，而是企業風險管理沒有做好，令企業的員工的權限沒有有效的規管。

筆者以前工作過的一些企業個案，可以訂到1000港元以上都要由CEO/CFO/COO至少一個簽名才能請款。或許是有點嚴荷但卻降低了公司所面對的風險。