深度伪造与身份冒充诈骗的防范

本文约需 9 分钟阅读

随着深度伪造技术的快速发展，利用高精度伪造音频和视频进行的身份欺诈已成为严重威胁。根据 Sumsub 2024 年报告，使用深度伪造的身份验证欺诈同比增长了 10 倍，实时语音合成精度的提升是损失扩大的主要原因。截至 2025 年，生成式 AI 的快速发展大幅降低了深度伪造的制作成本，攻击者的进入门槛降至前所未有的低水平。模仿上司或家人声音的电话诈骗、通过酷似本人的视频通话发出的非法转账指令 - 传统的"眼见为实""听声辨人"的身份验证常识正在失效。本文将解析利用深度伪造的诈骗手法，以及通过 Passtsuku.com 强化认证的防御策略。

到底该怎么做

深度伪造防御的核心是"不要仅凭音频或视频来验证身份"。初学者在接到电话或视频通话中要求转账或共享密码的请求时，请务必先挂断电话，然后主动回拨对方的正式联系方式。仅此一项就能防止大多数深度伪造诈骗。中级用户应与家人和同事设定紧急暗号，并为所有账户启用多因素认证。通过 Passtsuku.com 生成的随机密码无法被模仿人类特征的深度伪造所破解。

利用深度伪造的诈骗手法

利用音频深度伪造的电话诈骗

目前已出现仅需 3 秒音频样本就能以 95% 以上的相似度再现特定人物声音的技术。攻击者从社交媒体视频和语音消息中收集音频，然后冒充上司或家人拨打电话。"紧急需要转账""告诉我你的密码"等要求，由于声音与本人极为相似，很难引起怀疑，这正是此手法的危险之处。

在 2024 年香港发生的案例中，利用包括 CFO 在内的多名高管的深度伪造视频进行视频会议，会计人员被骗转账约 2 亿港元（约 38 亿日元）。语音合成的原理是通过深度学习模型学习说话者的声音特征量（音高、共振峰频率、语速模式），然后用该说话者的声音朗读任意文本。仅凭声音进行身份验证已不再安全。

利用视频深度伪造的视频通话诈骗

实时换脸的深度伪造技术使得通过视频通话进行冒充成为可能。已确认在 Zoom 或 Teams 等在线会议中，攻击者冒充商业伙伴或上司要求披露机密信息或共享密码的手法。由于屏幕上的视频分辨率有限，检测伪造非常困难。

需要注意的是，当前的实时换脸技术针对正面人脸进行了优化，因此在侧脸或突然的头部运动时容易出现不自然的伪影（闪烁、轮廓偏移）。如果在视频通话中感觉对方的动作不自然，可以要求对方转向侧面或用手遮住部分面部等简单验证方法是有效的。深度伪造检测与人脸认证安全技术书籍 (Amazon)也有助于理解检测技术。

利用社交媒体的冒充账户

利用深度伪造生成的面部照片作为头像，创建冒充真实人物的社交媒体账户。其手法是伪装成朋友或同事发送钓鱼链接或套取个人信息。GAN（生成对抗网络）生成的面部图像已达到人眼无法与真实照片区分的水平，仅凭头像照片判断真伪实际上是不可能的。常见的误解是"不自然的图像一看就知道"，但最新的生成模型甚至能精确再现瞳孔反射模式和皮肤纹理，依赖视觉判别是危险的。

深度伪造诈骗的防御策略

通过多因素认证强化身份验证

既然基于音频和视频的身份验证已不再可信，结合密码和两步验证的多因素认证就是防御的基石。使用 Passtsuku.com 为每个服务生成唯一的强密码，并通过认证应用或硬件安全密钥设置两步验证。即使有人用深度伪造冒充您，同时突破密码和认证码也极其困难。根据 Microsoft 2024 年安全报告，启用多因素认证的账户与仅使用密码的账户相比，未授权访问风险降低了 99.2%。基于深度伪造的社会工程学攻击通常与网络钓鱼攻击相结合，因此学习网络钓鱼防护技术也至关重要。此外，请注意生物识别认证的风险，因为深度伪造可能绕过面部和语音识别系统。

预先设定暗号和回拨程序

与家人和工作团队预先制定电话或视频通话中重要请求的验证程序。例如，当被要求转账或共享机密信息时，通过其他通信方式（电子邮件、聊天）重新确认，或使用预先设定的暗号进行身份验证等规则是有效的。定期更换暗号，并面对面而非通过数字方式共享。由于深度伪造攻击者可能分析过去的通信记录来猜测暗号，选择外部难以猜测的内容（如个人回忆或内部笑话）非常重要。

不要回应可疑请求

"紧急""立刻""不要告诉任何人"等施加心理压力的要求是诈骗的典型模式。根据 FBI IC3（互联网犯罪投诉中心）2024 年报告，商业电子邮件诈骗（BEC）的损失每年达到约 29 亿美元，其中结合深度伪造的手法正在急剧增加。无论声音或视频看起来多么真实，都不要回应通过异常程序进行的转账或密码共享请求。挂断电话后主动回拨对方的正式联系方式，就能识破冒充。社会工程学与心理操纵防御实践书籍 (Amazon)学习攻击者的心理手法也有助于提升防御能力。

深度伪造对策自查清单

• 重要请求（转账、密码共享）务必通过其他通信方式再次确认
• 与家人和同事设定紧急暗号，并定期更换
• 将社交媒体上音频和视频的公开范围限制到最小
• 为所有账户设置多因素认证
• 面对强调"紧急""立刻"的要求时先停下来思考
• 在视频通话中注意不自然的视频伪影（轮廓偏移、闪烁）

结合社会工程学防御的知识，可以进一步增强对利用深度伪造进行心理操纵的抵抗力。

加强账户保护

随着深度伪造技术的发展，不依赖"外表"或"声音"的认证的重要性日益增加。通过 Passtsuku.com 生成的随机密码无法被模仿人类特征的深度伪造所破解。请结合以下措施来提高账户安全性。

• 使用 Passtsuku.com 为每个服务生成 16 个字符以上的随机密码
• 为所有账户设置认证应用或硬件密钥的两步验证
• 优先保护用于密码重置的电子邮件账户
• 将社交媒体上个人信息的公开范围设置到最小
• 不要打开可疑链接或附件
• 限制语音消息的公开范围以防止音频样本泄露

需要注意的边缘情况是将深度伪造与钓鱼相结合的复合攻击。例如，用上司的深度伪造音频指示"我现在给你发邮件，请点击链接"，紧接着发送钓鱼邮件的手法，音频带来的信任感与邮件的紧迫性产生协同效应，据称受害率是单独攻击的 3 倍以上。深度伪造技术预计未来将变得更加精密。强化技术认证手段，构建不仅依赖人类判断的安全体系，是保护自己免受身份欺诈的最佳方法。

现在就能做的事

1. 使用 Passtsuku.com 生成 16 个字符以上的密码，并设置到电子邮件账户和金融服务
2. 为所有重要账户设置认证应用的多因素认证
3. 与家人和工作团队预先设定转账和机密信息共享时的暗号
4. 将社交媒体上音频和视频的公开范围限制为"仅好友"
5. 当通过电话或视频通话被要求紧急转账时，务必先挂断并回拨正式联系方式作为严格规则

常见问题

有没有办法识别深度伪造？

不自然的眨眼、面部轮廓闪烁、音频与嘴唇动作不同步等是线索。但随着技术进步，识别越来越困难，因此最可靠的方法是通过其他通信渠道直接确认对方身份，而不仅仅依赖视频或音频。

利用深度伪造进行身份欺诈有哪些手法？

手法包括模仿上司或商业伙伴声音的语音钓鱼电话指示转账、在视频会议中冒充本人套取机密信息、在社交媒体上假装熟人要求汇款等。企业中已有CEO欺诈造成数亿日元损失的案例。

个人可以做什么来防范深度伪造欺诈？

第一个预防措施是避免在社交媒体上过度分享面部照片和语音。涉及金钱或机密信息的请求，不要仅凭视频或音频判断，务必通过其他渠道与本人确认。家庭成员之间设定暗号也是有效的对策。