【臺灣資安大會直擊】BEC郵件詐騙手法採用AI深偽技術，讓商業詐騙進入「真假難辨」新階段

AI與深偽技術推動BEC詐騙升級

隨著生成式AI與深偽技術的快速普及，商業電子郵件詐騙（BEC）已從傳統假冒郵件演變為結合雲端帳號滲透、AI視訊偽造與跨境社交工程的新型態攻擊。攻擊者能透過AI技術生成高度逼真的電子郵件內容，模擬高層主管語氣，並結合深偽技術製造逼真的聲音與影像，使詐騙情境更接近真實。

攻擊者常透過設定轉發規則追蹤被偽冒對象的郵件往來紀錄，以瞭解企業內部關係與業務流程。部分案例中，駭客甚至冒充企業CEO，安排虛假的網路語音會議，並以商業合作為由，引導受害者完成匯款動作。例如，曾有媒體報導中國駭客集團冒充印度公司CEO電郵，成功誘導受害者將53萬1,981美元匯入詐騙帳戶。

BEC不僅是技術問題，更涉及企業治理與信任機制的全面崩解。攻擊者並非直接竊取資金，而是利用企業正常運作的信任流程，讓受害者「親手完成匯款」，這使得防禦難度大幅提升。專家指出，傳統防護機制難以辨識AI生成的高擬真郵件與深偽內容，企業需建立更嚴謹的審核流程與跨部門協作機制。

國際資安機構與企業如微軟、Trend Micro等已開始關注此趨勢，並提出防禦策略，包括運用AI技術進行語氣分析、建立可疑郵件自動檢測機制，以及推動金流阻斷與跨國合作以應對新型態攻擊。