随着 AI 技术推陈出新,人们已见识到 ChatGPT 自动产生论文与撰写程式的绝世神功。其实 AI 自动产影片的能力也让许多网红倍感威胁。即使影片新手也能透过 Synthesia、PictoryAI、Deforum Stable Diffusion 及 D-ID 等 AI 工具,轻松快速制作高水准 YouTube 影片。
这些强大的 AI 工具似乎被骇客盯上,因让骇客如虎添翼产生大量含恶意软体连结的好康工具破解教学影片,一旦使用者点击影片说明栏伪装成好康破解资源的恶意连结,使用者电脑就有可能被植入 Vidar、Redline 等窃密木马程式,造成个资外泄。
YouTube 含恶意连结影片激增 2~3 倍
数位威胁 AI 监控平台商 CloudSEK 在官网部落格发文,YouTube 出现大量直接在说明栏贴恶意连结的影片,一旦点击连结就触发常见窃密程式下载安装。2022 年 11 月以来,这类恶意影片数量激增 200%~300%。
这些影片几乎清一色都是专门介绍如何免费破解 Office、Photoshop、Illustrator、Premiere Pro 及 Audesk 3D Max 等合法付费程式或《霍格华兹的传承》等热门游戏的教学影片。
对骇客来说,持续吸引受害者看恶意影片莫过於大量或定期发影片。过去想做到这点,对没太多影片制作经验的骇客来说绝对有一定难度与负担。
AI 影片自动产生软体沦为骇客攻击利器
但随着 Synthesia、PictoryAI 及 D-ID 等 AI 影片自动产生软体大行其道,即使不会写脚本、也不会剪辑影片的初学者也能制作高水准影片。骇客还可透过 D-ID 产生吸引特定族群的虚拟人物,再配上名人声音引诱更多使用者看影片,甚至点击恶意连结。一时间这些 AI 影片产生工具变相成了助纣为虐的利器。
骇客与其自己申请 YouTube 帐号,还不如用现成帐号方便快速。所以资讯窃取器开发者还会透过社交工程、网路钓鱼等各种攻击手法,或雇用「流量窃贼」(traffer)取得特定对象资料或日志档,接管现有 YouTuber 帐号。「流量窃贼」指网路透过地下市集、论坛及 Telegram 频道发现并分享潜在受害者资讯的网路犯罪者。
一旦接管帐号,骇客会一口气上传好几支恶意影片,以吸引原 YouTuber 粉丝的注意。如果是热门 YouTuber 帐号,即使最终通报滥发恶意影片遭 YouTube 删除影片甚至停权,骇客也早获得可观的影片点击量,甚至恶意连结点击量。至於冷门或许久未使用的帐号,即使粉丝量不高,骇客也可大量用这类帐号再搭配 AI 影片产生工具,乱枪打鸟成功。
- Hackers are using AI to spread dangerous malware on YouTube
(首图来源:YouTube)