Google揭露駭客如何用AI強化社交工程攻擊

在2025年台灣資安大會（CYBERSEC 2025）中，Google Cloud 國際資安合作負責人 Christopher B. Porter 發表演說，揭示攻擊者如何利用生成式AI（Generative AI）強化社交工程（Social Engineering）手法，讓網路釣魚、語音詐騙與身分偽冒變得更難防範，對企業資安造成嚴峻挑戰。

駭客從AI中獲得的新利器：不再只是零時差攻擊

過往資安焦點大多集中在修補漏洞與防堵零時差攻擊，但 Porter 指出，駭客現今更重視「人」這一環。他們善用生成式AI快速製作可信度高的釣魚郵件、語音模仿、影片偽造等社交工程攻擊工具，降低入侵成本，擴大攻擊對象。

透過大型語言模型（LLM），駭客能針對企業員工產製符合品牌語氣、無語法錯誤的釣魚信件，甚至分析被駭帳號的通訊紀錄，自動生成後續回信，提升魚叉式網釣（Spear Phishing）成功率。這讓非英語地區如台灣，也成為日益頻繁的攻擊目標。

語音偽冒詐騙進化：企業語音認證恐失效

生成式AI帶來的另一個重大威脅，是語音模仿攻擊。只需目標幾秒鐘的聲音樣本，AI即能生成近乎真人的語音。駭客便可冒充主管、親人、或重要客戶，透過電話或語音留言詐騙受害者。

這對仰賴語音辨識進行身份驗證的金融機構尤其危險。Christopher B. Porter 建議企業重新評估驗證流程，避免以單一通訊渠道或聲音為憑，應改採多因素認證（MFA），並建立嚴謹的「重要資訊與資金請求須書面或面對面確認」政策。

Deepfake 假身分攻擊：滲透遠端職場成新趨勢

除了釣魚與語音模仿外，駭客也利用Deepfake技術偽裝身分，申請遠端職位。Porter 提到有駭客成功以虛假身分入職科技公司，獲得系統權限，並竊取商業機密。

這種攻擊手法不再局限美國，已擴及歐洲、亞洲甚至台灣，對遠距辦公與人資審核流程構成新挑戰。企業應加強新進人員身分核實程序，善用視訊面試與背景驗證，避免被虛假應徵者滲透。

Google DeepMind研究揭示：AI最助攻的是前期偵查

根據 Google DeepMind 2025年3月發表的研究，生成式AI在駭客攻擊鏈的「偵查階段」效果最顯著。AI可迅速分析目標企業的網路足跡、社群媒體、新聞報導與過往公開資料，加速鎖定高價值攻擊目標。

而在更進階如漏洞利用與資料外洩階段，AI雖然仍有應用潛力，但成功率與效能尚未超越人類黑帽駭客。不過，隨著AI技術進一步成熟，這樣的平衡點可能迅速改變。

防禦策略：企業該如何因應生成式AI帶來的資安威脅？

面對AI強化社交工程攻擊的新趨勢，企業不可掉以輕心。以下是幾項建議的防禦措施：

1. 多因素認證（MFA）：強化帳號安全，避免單一密碼或語音驗證即被攻破。
2. 建立安全通訊政策：所有重要指令與資金操作，須經過多重驗證與書面確認。
3. 員工資安教育訓練：定期進行社交工程模擬攻擊演練，提升員工警覺性。
4. 使用AI監控與威脅偵測：善用AI技術辨識可疑語音、郵件與存取行為，主動偵測潛在風險。
5. 招募流程強化：針對遠距職缺，應加強身分驗證與背景查核，避免駭客假扮求職者入侵。