刊於《信報》,2025年11月10日
AI破解人面識別 討回失款緣木求魚
許佳龍
科大商學院署理院長;資訊、商業統計及營運學系講座教授;艾禮文家族商學教授
隨着人工智能技術進步,騙徒行騙手法也推陳出新,近日便有兩宗騙案,筆者認為值得一談。
首宗,有騙徒把盜竊得來的身份証,透過人工智能技術,把持證人相片「改頭換面」,嵌入自己的樣貎頭像,然後使用這個經AI技術改造的身份証,向銀行申請網上開戶,成功突破了網上身份認證程序的關卡,把銀行的貸款詐騙到手。
人面識別技術應用廣泛
今天,人面識別技術應用廣泛,如在機場和邊境口岸使用,實現快速通關,提高效率;執法機關利用人面識別技術追踪嫌犯;處所如辦公大樓、住宅等,透過人面識別系統取代傳統門禁卡,實現無接觸式出入管理;零售業者使用人面識別來預防盜竊;金融機構通過人面識別系統,去偵測及預防身份盜用及詐騙行為。由於技術使用帶來方便性、效率性和安全性,使生物識別技術應用大行其道,並在很多領域取替了使用密碼。
所謂道高一尺,魔高一丈。上文提到騙徒利用AI技術,打破生物認証所確保個人身份無誤的「常識」,說明生物認証始終有應用局限。不過,我們也不必因噎而廢食。生物識別技術使用有利有弊,密碼工具也一樣。筆者在此不妨再次提出個人對密碼使用的一貫主張。
高強度密碼陷阱
密碼可以防止未經授權訪問個人的帳戶、重要的數據和私隱信息,如財務資訊、電子郵件等。對市民來說,網絡活動已成為日常生活不可分割的部分,包括與朋友通訊、收發電郵、在網絡上進行金融活動、理財、購物等。雖然營運網站或相關機構對於用戶的密碼,以密文(cipher text)形式儲存,不過,黑客入侵並成功盜取客戶個人資料的事故,時有所聞,難以杜絕。是以不少機構建議、提倡甚至規定用戶使用高強度密碼,令用戶使用密碼時,大大考驗其記憶力,有用戶或因高強度密碼既冗長又複雜,以至「被迫」以明文記下密碼,成為個人密碼外洩風險之源,給心懷不軌者盜用之機。
無可否認,生物認證使用甚為方便,也算安全,但明顯有使用局限性和潛在風險。同樣地,密碼強度愈高,無疑也難拆解,但強加給用戶使用難度,甚至因明文寫出來而衍生外洩風險,如何作出風險平衡,實在需要網絡保安專家和學者提出有效的解決方案。筆者強調一點,生物認證有使用局限性,只有意識這種局限性,堵塞漏洞,才能保障網絡人工智能和Web 3的發展,得到行穩致遠的基礎支持。
五番被騙令人費解
另一宗「連環受騙」個案。事發經過令人費解。事主看到有網站銷售酒店房間套票,價錢便宜,只需支付有限金錢,便可一年內任選五星酒店入住。於是向平台支付了保證金和手續費,但始終無法入住,才發現受騙。被騙後,事主不甘損失,再經網上找到一位專門處理詐騙案件的「律師」跟進,事主支付了「跟進」費用。其後「律師」以款項已經成為黑錢為由,轉介另一名「技術員」,協助事主在「賭博網頁」進行追討,事主再在網上賭博受騙,最後透過女網友介紹一名「警察」幫助追討,「警察」聲稱與詐騙集團有聯繫,但需要支付「疏通關係」費用。結果,五度連番受騙,損失共逾百萬港元。
這宗騙案委實「離奇」。事主連環五次中伏的一個關鍵要點,是沒有意識到網絡詐騙,事發之後,從追查案件到討回失款都極其困難。由於詐騙犯罪很多是在境外發動和進行,而普通法受傳統地域限制,香港法院基本上只對在香港地理範圍內犯下的罪行具有司法管轄權,因此執法部門也難以對境外發動和進行的犯罪行為提出檢控。
再者,一個司法管轄區要求另一個司法管轄區將疑犯引渡回來進行審判或懲罰,必須通過雙方簽訂的引渡條約或協議規範地執行。我們在電影看到,甲地警方一個電話,乙地警方便迅速把疑犯移交過來,只是一種劇情。事實上,兩個司法管轄區之間進行刑事司法合作,並非一般想像中那麼簡單。
損失難追討 自保最實際
因此,受害人被騙去的金錢,一經騙徒匯走,便很難追回。如果受害人冀透過非官方渠道,甚至不惜透過聲稱自己有能力的來歷不明第三方追討,無異緣木求魚,有機會再度墮入騙徒設計的另一個騙局之中。
上述兩宗詐騙個案帶出兩個防騙概念:第一,生物識別認証的使用有局限性,當大家因生物特徵的獨一無二性,而對生物識別產生過度信賴的偏差安全感,從而在網絡安全防範上自行鬆懈,這一點其實很值得警惕。第二,明白被騙去的金錢,一經騙徒匯走便難以追回,不要存僥倖之心能夠失而復得,在實際上,必須時常高度警覺,保持防騙的自保意識,不可輕易鬆懈。