粉絲團
(圖/路透社)AI剪輯影片被駭客盯上鎖定 看YT小心個資外洩
生成式AI人工智慧 (Generative AI),成為今年引領科技界的新趨勢潮流,包括:Google、微軟、Meta、Adobe與NVIDA等巨頭,都相繼投入相關技術與應用的研發,包括:搜尋、創作寫論文、畫圖設計、影片生成等,甚至也涵蓋拓展至汽車車用晶片、金融、醫療、法律、客服、教育等領域,被視為是未來十年顛覆網路商業模式的AI新世代。
然而,值得注意的是,當紅熱夯的生成式AI人工智慧,現在也被駭客集團作為散佈傳播惡意程式的新型態網攻手法。
據數位威脅AI監控平台CloudSEK 資安業者表示,在YouTube、推特或IG等串流影音平台上,近期就出現大量運用「生成式AI人智慧」的影片剪輯軟體,包括如:Synthesia 和 D-ID 等,這類爆炸性快速成長的AI惡意影片,內容都暗藏有Vidar、RedLine 和 Raccoon等這類竊密惡意程式,從去年11月以來至今,影片量成長已達300%以上。
由於這類影片訴求可讓沒有影片製作剪輯與不會寫腳本文案的新手,也能快速製作出高水準的影片,因此也被不會做影片駭客,作為發動惡意攻擊的工具。
CloudSEK 分析指出,這波來勢洶洶以生成式AI人工智慧,被駭客利用製作惡意影片,主要有三大手法。
一種是偽裝為免費破解版、熱門遊戲教學等影片內容,本身都內藏有惡意程式,上傳至YouTube 串流影音平台後,影片標題大多以聲稱為「如何免費下載破解版 Office、Photoshop、Illustrator、Premiere Pro、Adobe Photoshop」或「熱門知名遊戲的教學影片」等名義,並於該影片的資訊說明欄位提供內藏惡意程式碼的網址連結,作為釣魚引誘。平均每小時就有5至10支類似的教學影片,被駭客份子上傳至中Youtube平台上。
第二種則是假借徵才招聘、教育培訓的名義,例如運用 D-ID 自動AI生成影片軟體為例,透過生成式AI技術,可把照片或影片轉換成吸引眼球的虛擬人物角色形式,並配上名人聲音作為吸睛眼球誘餌,讓不知情的網友點擊網址。
於上述兩種情況下,一旦不慎點擊帶有惡意程式碼的影片網址連結後,用戶電腦就會被植入木馬程式,在毫無知情的狀況下,導致個資遭外洩,如瀏覽器數據、帳號密碼、信用卡資訊、加密錢包憑證與文件檔案等。。
第三種,當駭客經由上述手法並透過資訊竊取器竊取特定對象的 YouTuber用戶後,還會取得接管該 YouTuber 頻道的帳號權限,並上傳多支惡意影片,以吸引該頻道既有的粉絲點擊。
至於要如何判斷該影片是否為暗藏惡意程式的影片,建議現階段可掌握三要點:影片標題為非法的破解或教學不要點擊,影片說明有提供外部連結網址不要點擊,AI生成的影片內容,虛擬人物若為 Synthesia、PictoryAI、D-ID 可套用的熟悉臉孔特徵不要點擊。
