微软分享人工智能骗局的详细指导：几乎不可能不上当

微软今天发布了最新一期《网络信号》报告，详细介绍了如何应对最新类型的网络安全威胁、诈骗和欺诈。该公司解释了在人工智能的帮助下，如何比以往任何时候都更容易构建具有恶意意图和目的的软件。

微软指出了威胁行为者利用深度伪造、语音克隆、伪造员工档案以及欺骗电子商务公司网站页面和产品图片等手段欺骗潜在受害者的各种方式：

人工智能已开始降低欺诈和网络犯罪行动者寻找自己的生产工具的技术门槛，使生成可信的网络攻击内容变得更容易、更便宜，而且速度越来越快。

...

人工智能工具可以扫描和搜索网络上的公司信息，帮助网络攻击者建立员工或其他目标的详细资料，以创建极具说服力的社交工程诱饵。

在某些情况下，不良行为者利用人工智能增强的虚假产品评论和人工智能生成的店面，诱使受害者陷入日益复杂的诈骗计划，在这些店面中，骗子创建了整个网站和电子商务品牌，并配有虚假的商业历史和客户评价。通过使用深度伪造、语音克隆、网络钓鱼电子邮件和外观逼真的虚假网站，威胁行为者试图在更大范围内显得合法。

微软的担忧是完全有道理的，因为在技术支持诈骗等情况下，深度伪造和语音克隆等技术确实非常危险，因为除非你真的仔细寻找线索，否则几乎不可能识破它们；即便如此，随着人工智能的发展，辨别真假也变得越来越具有挑战性。

因此，微软发布了一份一般性建议清单：

• 加强雇主身份验证：欺诈者经常劫持合法的公司资料或创建虚假的招聘人员来欺骗求职者。为了防止这种情况，工作平台应引入多重身份验证和验证 ID 作为雇主帐户的 Microsoft Entra ID 的一部分，使未经授权的用户更难获得控制权。
• 监控基于 AI 的招聘骗局：公司应部署深度伪造检测算法，以识别 AI 生成的面部表情和语音模式可能不自然一致的面试。
• 警惕看起来好得令人难以置信的网站和职位列表：通过检查安全连接 （https） 并使用 Microsoft Edge 的拼写错误保护等工具来验证网站的合法性。
• 避免向未经验证的来源提供个人信息或付款详情：在招聘信息中查找危险信号，例如通过短信、WhatsApp、非企业 Gmail 帐户等非正式平台请求付款或通信，或请求通过个人设备联系某人以获取更多信息。

最后，微软还强调了它的一些应用程序和工具（如 Quick Assist）是如何通过数字指纹识别等方法来防范此类技术支持欺诈和骗局的，以及如何阻止完全控制请求。它写道：

为了帮助打击技术支持欺诈，我们在快速助手中加入了警告消息，以提醒用户注意可能的技术支持欺诈行为，然后他们才会向声称是授权 IT 部门或其他支持资源的人授予访问权限。

...

Microsoft 利用其安全信号显著增强了对 Windows 用户的 Quick Assist 保护。为了应对技术支持诈骗和其他威胁，Microsoft 现在平均每天阻止 4,415 次可疑的快速助手连接尝试，约占全球连接尝试的 5.46%。

不过，微软建议在组织内部使用远程帮助（Remote Help），而不是快速辅助（Quick Assist），因此远程帮助是更安全的选择。

微软还提到了Edge中的一些安全功能，如错别字保护和域名冒充保护，可以防止用户因错别字而进入冒充的恶意网站。你可以在微软网站上查看报告全文：

https://www.microsoft.com/en-us/security/blog/2025/04/16/cyber-signals-issue-9-ai-powered-deception-emerging-fraud-threats-and-countermeasures/