top of page

從 AI 釣魚攻擊到 Deepfake 詐騙:以 Thales 身份安全方案強化數碼信任

  • 16 hours ago
  • 5 min read

隨著 AI 持續改變企業的營運模式,網絡攻擊的手法亦正在迅速演變。現今的攻擊者不再需要高深的技術能力,亦可以建立高度仿真的釣魚網站、冒充真實用戶,甚至操控數碼身份驗證流程。透過 AI 工具,假網站、偽造文件及 Deepfake 身份可以更快速、更低成本及更大規模地被製作出來。


對於銀行、證券、保險及數碼金融等受監管行業而言,這帶來一個全新的身份安全挑戰:企業如何確認正在登入、開戶或進行交易的人,確實是其本人?


面對 AI 驅動的釣魚攻擊、Deepfake 身份冒充及日益複雜的數碼詐騙風險,企業需要重新審視現有的身份安全架構。傳統密碼、一次性密碼及單一驗證流程,已難以應對現代攻擊手法。Thales 透過身份驗證、數碼 onboarding、風險為本身份驗證及無密碼登入等技術,協助企業在整個客戶旅程中建立更強的數碼信任。 為甚麼傳統 MFA 已不足夠?

多年來,企業普遍依賴密碼及一次性密碼保護用戶帳戶。然而,這類方法在面對現代釣魚攻擊時,已變得愈來愈脆弱。


現時攻擊者可以利用 AI 網站複製工具,在短時間內建立幾乎與真實網站一模一樣的假登入頁面。當用戶輸入用戶名稱、密碼及一次性密碼後,攻擊者可以即時將這些憑證轉交至真正網站,並代替用戶登入。


換言之,即使企業已採用以 SMS 或 OTP 為基礎的多重身份驗證,只要該驗證方式仍然可能被竊取及即時轉用,帳戶便仍有機會被攻破。問題不只是用戶能否辨認假網站。隨著假登入頁面、Browser-in-the-Browser 攻擊及社交工程技巧日趨逼真,即使具備 IT 知識的用戶,亦未必能夠分辨真偽。


以 Passkeys 及 FIDO2 擺脫密碼風險

更安全的做法,是從登入流程中移除密碼。


Passkeys 及 FIDO2 身份驗證採用公私鑰加密技術,提供具抗釣魚能力的身份驗證方式。系統不再要求用戶記住及輸入密碼,而是建立一組私鑰及公鑰。私鑰會安全地保存在用戶的裝置或硬件驗證器內,而公鑰則會註冊於合法服務的網域上。


這一點非常重要,因為身份憑證會與真實網站網域綁定。當用戶被引導至假網站時,該釣魚網域無法觸發正確的加密挑戰,因此身份驗證流程不會成功。這種設計令 FIDO2 及 passkeys 能有效降低憑證被釣魚網站盜用的風險。


對用戶而言,體驗可以非常簡單:開啟應用程式、建立或使用 passkey,然後透過指紋、面容識別、裝置解鎖或硬件安全金鑰完成身份驗證。對企業而言,這代表可以在不增加過多使用障礙的情況下,提升帳戶保護能力。


Thales 透過其 FIDO2 及 passkey 相關方案支援企業實現無密碼登入,包括 SafeNet FIDO security keys、SafeNet IDPrime FIDO smart cards,以及具備生物識別功能的智能卡選項。Thales 亦提供生命週期管理能力,協助企業大規模部署及管理 FIDO 憑證,並支援與 Microsoft Entra ID 整合,為用戶預先註冊 Thales FIDO keys。

以 OneWelcome 及 IdCloud 保護數碼銀行體驗

對於數碼銀行及金融服務而言,身份安全並不只限於登入。它應該由開戶及客戶 onboarding 開始,並延伸至每一次存取、交易及帳戶活動。


Thales OneWelcome Identity Platform – IdCloud 旨在支援完整的數碼銀行身份旅程。IdCloud 結合 KYC 及身份驗證、用戶認證及風險管理服務,並透過單一 API 保護數碼銀行服務的 onboarding 及存取流程。


這對金融機構尤其重要,因為它們需要同時兼顧安全、合規及客戶體驗。一個安全的 onboarding 流程,不應只檢查文件看起來是否有效,更應評估用戶、裝置、行為及整體情境是否與合法客戶旅程一致。


Deepfake 詐騙與 eKYC 的新挑戰

Deepfake 及合成身份詐騙正變得愈來愈精密。在一般數碼 onboarding 流程中,用戶或會被要求上載身份證明文件,並完成面容驗證。然而,攻擊者可以嘗試從不同環節操控流程。

例如,他們可能使用被修改或偽造的身份文件;亦可能以真實人臉配合偽造文件完成驗證;又或者嘗試 presentation attack,例如向鏡頭展示相片或影片。更進階的攻擊者甚至可能嘗試 injection attack,繞過鏡頭,直接將經操控的數碼內容注入裝置或應用程式流程之中。

因此,身份驗證必須採用多層防護。Thales 的數碼 onboarding 能力涵蓋文件認證、面容識別、活體偵測、Deepfake 偵測、裝置登記、用戶認證,以及如 AML 相關整合等後端檢查。

更完善的 onboarding 流程,應能驗證文件真偽、將用戶面容與可信文件相片進行比對、檢查活體特徵,並評估整個互動過程是否可信。對於電子身份文件及護照,系統亦可透過 NFC 讀取晶片資料,協助機構依賴受數碼保護的資料,而不只是依靠拍攝影像作判斷。 風險為本身份驗證:在 Onboarding 之後持續偵測詐騙

身份安全並不會在用戶成功登記後便結束。詐騙可能發生於之後的登入、帳戶資料更改、資金轉帳、證券交易或其他高風險操作中。 這正是風險為本身份驗證的重要所在。它不會對所有用戶、所有情境套用同一套身份驗證要求,而是會根據每一次登入或交易的情境評估風險。相關因素可能包括裝置資訊、網絡訊號、用戶行為、位置、瀏覽器特徵及其他環境資料。

Thales 的風險為本身份驗證能力可動態評估每次登入嘗試或高風險操作的風險水平,並根據風險作出相應反應。這有助企業識別欺詐行為,同時減少對合法用戶造成不必要的操作阻力。

Thales 的風險管理方案亦包含多層智能分析,包括裝置及網絡智能、行為生物識別、行為分析,以及 trust consortium。這些能力有助識別異常活動,例如新出現的可疑裝置、異常網絡、疑似機械人行為,或與用戶正常模式不一致的操作行為。

在 AI 驅動威脅日益普及的環境下,這一點尤其重要。即使 AI bot 可以模仿點擊或自動填寫表格,行為分析仍有助偵測出過快、過於一致,或與人類互動模式不符的異常行為。 建立更可信的數碼旅程

核心訊息非常清晰:當 AI 令攻擊變得更加逼真,企業便需要在整個客戶旅程中建立更強的身份可信度。


單靠密碼及 OTP 已不足以應對現代威脅。數碼 onboarding 亦不能只依賴上載影像。詐騙偵測更不應只停留於單一檢查點。企業需要採用分層方式,結合抗釣魚身份驗證、身份核實、文件認證、生物識別檢查、Deepfake 偵測、裝置智能、行為分析及風險為本決策。


透過 Thales OneWelcome Identity Platform、IdCloud、FIDO2/passkey 身份驗證及風險管理能力,企業可以由 onboarding 到日常存取流程全面提升保護。對客戶而言,這代表更順暢及更安全的數碼體驗;對企業而言,則代表能更有信心地確認每一個帳戶、登入及交易背後的身份都是可信及合法的。


在 AI 釣魚攻擊及 Deepfake 冒充日益普及的時代,數碼信任不能再被假設存在,而必須持續被驗證。


作為 Thales 的長期合作夥伴,Amidas 擁有豐富的方案部署經驗及專業技術團隊,能協助企業因應不同業務場景、合規要求及安全挑戰,規劃及落地合適的身份安全、存取管理及風險防護方案。


如欲進一步了解 Thales 相關方案如何協助您的企業強化數碼身份安全、防禦 AI 驅動的釣魚攻擊及 Deepfake 詐騙風險,歡迎聯絡 Amidas 團隊,我們的專家將樂意為您提供進一步諮詢。

電話:2168 0388   

Whatsapp: 9828 3401  

Logo_Amidas_PNG_330x178.png

Amidas Hong Kong Limited

27/F Peninsula Tower

538 Castle Peak Road

Kowloon, Hong Kong​

+852 2168 0300

© 2026 by Amidas Hong Kong Limited.  

Subscribe to our newsletter

One Company One Team

Follow Us On:

  • Youtube
  • LinkedIn
  • Facebook
bottom of page