刊于《信报》,2025年11月10日
AI破解人面识别 讨回失款缘木求鱼
许佳龙
科大商学院署理院长;信息、商业统计及营运学系讲座教授;艾礼文家族商学教授
随着人工智能技术进步,骗徒行骗手法也推陈出新,近日便有两宗骗案,笔者认为值得一谈。
首宗,有骗徒把盗窃得来的身份证,透过人工智能技术,把持证人相片「改头换面」,嵌入自己的样貎头像,然后使用这个经AI技术改造的身份证,向银行申请网上开户,成功突破了网上身份认证程序的关卡,把银行的贷款诈骗到手。
人面识别技术应用广泛
今天,人面识别技术应用广泛,如在机场和边境口岸使用,实现快速通关,提高效率;执法机关利用人面识别技术追踪嫌犯;处所如办公大楼、住宅等,透过人面识别系统取代传统门禁卡,实现无接触式出入管理;零售业者使用人面识别来预防盗窃;金融机构通过人面识别系统,去侦测及预防身份盗用及诈骗行为。由于技术使用带来方便性、效率性和安全性,使生物识别技术应用大行其道,并在很多领域取替了使用密码。
所谓道高一尺,魔高一丈。上文提到骗徒利用AI技术,打破生物认证所确保个人身份无误的「常识」,说明生物认证始终有应用局限。不过,我们也不必因噎而废食。生物识别技术使用有利有弊,密码工具也一样。笔者在此不妨再次提出个人对密码使用的一贯主张。
高强度密码陷阱
密码可以防止未经授权访问个人的帐户、重要的数据和私隐信息,如财务信息、电子邮件等。对市民来说,网络活动已成为日常生活不可分割的部分,包括与朋友通讯、收发电邮、在网络上进行金融活动、理财、购物等。虽然营运网站或相关机构对于用户的密码,以密文(cipher text)形式储存,不过,黑客入侵并成功盗取客户个人资料的事故,时有所闻,难以杜绝。是以不少机构建议、提倡甚至规定用户使用高强度密码,令用户使用密码时,大大考验其记忆力,有用户或因高强度密码既冗长又复杂,以至「被迫」以明文记下密码,成为个人密码外泄风险之源,给心怀不轨者盗用之机。
无可否认,生物认证使用甚为方便,也算安全,但明显有使用局限性和潜在风险。同样地,密码强度愈高,无疑也难拆解,但强加给用户使用难度,甚至因明文写出来而衍生外泄风险,如何作出风险平衡,实在需要网络保安专家和学者提出有效的解决方案。笔者强调一点,生物认证有使用局限性,只有意识这种局限性,堵塞漏洞,才能保障网络人工智能和Web 3的发展,得到行稳致远的基础支持。
五番被骗令人费解
另一宗「连环受骗」个案。事发经过令人费解。事主看到有网站销售酒店房间套票,价钱便宜,只需支付有限金钱,便可一年内任选五星酒店入住。于是向平台支付了保证金和手续费,但始终无法入住,才发现受骗。被骗后,事主不甘损失,再经网上找到一位专门处理诈骗案件的「律师」跟进,事主支付了「跟进」费用。其后「律师」以款项已经成为黑钱为由,转介另一名「技术员」,协助事主在「赌博网页」进行追讨,事主再在网上赌博受骗,最后透过女网友介绍一名「警察」帮助追讨,「警察」声称与诈骗集团有联系,但需要支付「疏通关系」费用。结果,五度连番受骗,损失共逾百万港元。
这宗骗案委实「离奇」。事主连环五次中伏的一个关键要点,是没有意识到网络诈骗,事发之后,从追查案件到讨回失款都极其困难。由于诈骗犯罪很多是在境外发动和进行,而普通法受传统地域限制,香港法院基本上只对在香港地理范围内犯下的罪行具有司法管辖权,因此执法部门也难以对境外发动和进行的犯罪行为提出检控。
再者,一个司法管辖区要求另一个司法管辖区将疑犯引渡回来进行审判或惩罚,必须通过双方签订的引渡条约或协议规范地执行。我们在电影看到,甲地警方一个电话,乙地警方便迅速把疑犯移交过来,只是一种剧情。事实上,两个司法管辖区之间进行刑事司法合作,并非一般想象中那么简单。
损失难追讨 自保最实际
因此,受害人被骗去的金钱,一经骗徒汇走,便很难追回。如果受害人冀透过非官方渠道,甚至不惜透过声称自己有能力的来历不明第三方追讨,无异缘木求鱼,有机会再度堕入骗徒设计的另一个骗局之中。
上述两宗诈骗个案带出两个防骗概念:第一,生物识别认证的使用有局限性,当大家因生物特征的独一无二性,而对生物识别产生过度信赖的偏差安全感,从而在网络安全防范上自行松懈,这一点其实很值得警惕。第二,明白被骗去的金钱,一经骗徒汇走便难以追回,不要存侥幸之心能够失而复得,在实际上,必须时常高度警觉,保持防骗的自保意识,不可轻易松懈。