2023 年可說是 AI 技術急速發展的一年,不論是繪圖、作曲、論文撰寫都能看到 AI 軟體的蹤跡;雖然方便歸方便,但也衍伸出不少新型態的 AI 犯罪。
目前 YouTube 平台上,就有不少駭客利用 AI 自動生產影片的方便性,大量生產 YouTube 影片,並將惡意連結包裝成 Photoshop、Premiere Pro 等破解軟體來進行散播,觀眾很有可能看個 YouTube 影片就不小心誤點連結,導致電腦被植入惡意程式,個資因此外流。
YouTube 平台 AI 生成的惡意影片大量增加!
根據數位威脅 AI 監控平台 CloudSEK 官網資訊,自從 2022 年 11 月以來,YouTube 平台上就出現不少惡意連結,數量相比過去提高了 2~3 倍,而這類型的影片通常會包裝成 Photoshop、Illustrator、Premiere Pro 等合法程式的破解教學,並於說明欄放置惡意連結,騙取觀眾下載。
▼ AI 生成的惡意影片大量增加
圖源:CloudSEK
惡意影片大量增加的原因也與 AI 息息相關,惡意影片大多透過 Synthesia、PictoryAI、D-ID 等專業 AI 影片製作平台完成,不但主角會看起來很真實,操作也非常簡單,即使是不會剪輯影片、沒有拍攝經驗的人,也能製作出高水準的影片,減輕影片生產成本,大大提高惡意影片的製作效率。
▼ 惡意連結通常會放置在說明欄,並配合 AI 生成的影片
圖源:擷取自 YouTube
除了正版軟體破解外,熱門遊戲破解也是常用的詐騙手段,之前就有駭客利用《霍格華茲的傳承》的熱度,把一個《霍格華茲的傳承》破解教學上傳至一個 184 萬訂閱的 Youtube 頻道,並成功獲得 9 個讚。
▼ 遊戲破解也是駭客常用的包裝方式
圖源:CloudSEK
頻道訂閱量與評論皆有可能是陷阱
頻道訂閱量高、留言區又充滿正向評論會不會就不是惡意影片?如果你這樣想,那就把駭客想得太簡單了!從現階段收集到的情報來看,不少惡意影片都是張貼在訂閱人數超過 10 萬人以上的頻道,駭客會接管部分人氣頻道,藉此騙取到更多的點擊量。
▼ 訂閱人數多寡不足以代表安全性高低,像是這個頻道訂閱人數超過 18 萬,同樣充斥不少惡意連結影片
圖源:CloudSEK
除了用訂閱量來騙取觀眾外,操控評論也是駭客慣用的手法,駭客可能會在影片下撰寫些正面評論,提高說服力,導致不知情的觀眾信以為真。
▼ 駭客會留下些正面評論,提高影片真實性
圖源:CloudSEK
如何區分、預防 YouTube 惡意連結影片?
▉ 惡意連結影片會如何呈現?
由於 AI 影片製作門檻低,駭客能大量生產、頻繁上傳影片,即使 YouTube 刪除舊的惡意影片,也難以遏阻新的惡意影片上傳。根據 CloudSEK 的觀察,平均每小時會有 5~10 部包含惡意連結的新影片上傳至 Youtube,觀眾可能一不小心就有可能碰巧遇到。
現階段判斷惡意連結影片的方式並不困難,從瓦特的觀察來看,惡意連結影片通常會符合以下 3 項特徵:
- 內容為非法的破解教學
- 影片內容多為 AI 生成,影片主角常常是 Synthesia、PictoryAI、D-ID 可套用的臉孔
- 說明欄具有外部連結
如果你點擊某部影片,它剛好滿足「破解教學+ AI 生成+說明欄有連結」三項條件,那基本上可以確定該影片連結為惡意連結,請絕對不要點擊!
▉ 有辦法從連結格式判斷網址安全性嗎?
依照過往的經驗,惡意連結的網址大多非常可疑,會由一堆冗長的英文與數字組成,但僅從連結格式判斷是非常危險的。因為駭客通常會利用以下 3 種方法,讓連結看起來比較正常。
- 使用 RL 縮短器,如:bit.ly 和 cutt.ly
- 連結到檔案託管網站,比如:mediafire.com
- 連結會直接下載惡意 zip 文件
▼ 容易被惡意連結利用的常見網址
圖源:CloudSEK
▉ 觀看影片會有影響嗎?我該如何預防?
若觀眾不小心誤觀看到含有惡意連結的 YouTube,請不用緊張,只要沒有點擊連結,個人資料是不會被竊取的,只要關閉影片就能預防;當然,你也可以多送一個「檢舉」來提醒 YouTube 盡早刪除該影片。
另外,從影片的類型來看,駭客多是利用「人性的貪婪」來進行詐騙,只要不要抱持僥倖、貪小便宜的心態,購買正版軟體或遊戲才是製治標又治本的方法。
首圖來源:pixabay
參考資料:CloudSEK