一鍵進行人臉交換 實時換臉技術詐騙更容易

有網民示範只花了5分鐘，就安裝好了Deep-Live-Cam工具，並使用Deep-Live-Cam深度偽造出了美國聯邦參議員JD Vance、Facebook創辦人馬克·祖克柏、好萊塢男星喬治·克隆尼的臉部。

然而，這項技術的潛在濫用已引發科技觀察家的擔憂。插畫家Corey Brickley在推特上指出，最近的技術創新大多集中在“欺詐”技能上。他的話雖帶有諷刺意味，但強調了不法分子利用此類工具進行欺詐的可能性。考慮到Deepfake技術的普及性與易得性，設立確認身份的安全暗號也許不再那麼瘋狂。

Deepfake的危險也不是新鮮事。Deepfake技術早在2017年就已經出現，當時該技術雖然緩慢且成本高昂，但如今已經變得更快、更智能，門檻也大幅降低，讓任何擁有基礎編程知識的人都能使用免費軟件創建Deepfake。

隨着即時Deepfake軟件興起，遠端視頻詐欺事件可能會更加頻繁，受害者不僅限於公眾人物，就連一般也將面臨更大的風險。

換臉不費力

修正瑕疵提高品質

Deep-Live-Cam使用方式極為簡單，只要選挑一張要替換臉的照片，點選Live即可開啟即時Deepfake直播模式。

Deep-Live-Cam（實時換臉）技術究竟是如何運作？

像許多GitHub上的開源專案一樣，“Deep-Live-Cam”把幾個現有的軟件包整合到一個新的介面下，而它本身就是一個早期專案“roop”的分支。

接着，它首先檢測源圖像和目標圖像，如即時視訊的一格中的臉部。然後，它使用一個名為“inswapper”的預訓練AI模型來執行實際的換臉動作，並使用另一款名為“GFPGAN”的模型透過增強細節和修正換臉過程中出現的瑕疵來提高換臉的品質。

“inswapper”模型由InsightFace專案所開發，它能夠根據提供的照片推測一個人在不同表情和角度下的樣子，因為它是基於包含數百萬張來自不同角度、不同光線條件和多種表情的數千人臉部圖像的龐大數據集進行訓練的。

在訓練過程中，“inswapper”模型底層的神經網絡發展了對面部結構及其在各種條件下的動態的“理解”，包括學習從2D圖像推斷人臉3D結構的能力。它還能夠將不同的人的圖像中保持不變的身份特定特徵與隨角度和表情變化的姿勢特定特徵分離開來。這種分離允許模型生成新的面部圖像，將一張臉的身份與另一張臉的姿勢、表情和光線結合起來。

這些專案大多依賴於一個包含Python和深度學習庫（如PyTorch）在內的網絡，因此“Deep-Live-Cam”還不是一個可以一鍵安裝的軟件。然而，隨着時間的推移，這類臉部替換功能可能會變得更加容易安裝，並隨着人們在開源AI開發空間中不斷迭代和互相借鑑而不斷提高品質。

日產展示新款汽車塗料

有效降低車內溫度

在炎熱天氣下，只要把轎車停在室外，不到一小時，打開車門就會感受到高溫熱氣迎面襲來，簡直可以說是所有駕駛的惡夢。日產（Nissan）汽車最近展示了一款新型汽車塗料，並指在陽光直射下，可以大幅降低車輛的溫度。

2023年11月在東京羽田國際機場，將一輛經特殊塗料處理的Nissan NV100置於戶外，進行了一場測試。結果顯示，在直射陽光下的外部溫度，比標準塗料車輛低了12°C，車內溫度也顯著下降了5°C。

也就是說，新塗料對於經常暴露在陽光下的車輛，特別是長時間停放的情況下，具有顯著的降溫效果。

日產的新型塗料內含兩種關鍵微粒子，第一種微粒子能有效反射太陽光中的近紅外線，減少傳統塗料樹脂中，分子振動所產生的熱量；第二種微粒子則進一步將太陽能量反射至大氣層。

這項技術不僅能提升駕駛者的舒適度，也有助於降低車輛空調的耗能，進而提升能源效率。

此外，日產研究中心的開發團隊正在將這種塗料的厚度，從最初的400微米減少到120微米，儘管還是比傳統汽車塗料厚，但其耐用性已獲得確認，且能抵抗鹽分、剝落、劃痕及化學反應，同時保持顏色一致性並可修復。

雖然這項技術目前仍在測試階段，但日產研究中心的專家三浦進博士（Susumu Miura）說，這款涼感塗料未來有望應用於各種商用車輛，尤其是那些經常在日間長時間行駛的車輛如貨車、救護車等。

網絡電郵釣魚詐騙出新招

濫用剪貼簿谷歌繪圖誘上當

電子郵件數量激增，網絡釣魚攻擊也隨之增加。不僅是攻擊的數量或頻率令人擔憂，還有它們持續演變、由AI驅動的複雜性。為了更好地鎖定受害者，攻擊者不斷更新和修改他們的網絡釣魚技術。讓我們來探索最近被網絡安全研究人員發現的一些新型電子郵件網絡釣魚詐騙方式。

1．剪貼簿劫持

所謂的“剪貼簿劫持”（Pastejacking）是一種巧妙的技術，威脅行為者誘騙受害者複製／貼上，並在他們的設備上運行惡意程式碼。攻擊從一封包含緊急句子的網絡釣魚電子郵件開始，敦促收件人打開HTML附件。當檔案被打開時，會出現一個假的OneDrive資料夾，但它引用了Microsoft雲端儲存服務的一些錯誤訊息。然後，受害者會看到一個“如何修復”按鈕，提供有關如何打開Windows終端和PowerShell控制台並貼上特定程式碼行的分步說明。當受害者按照這些說明操作時，惡意軟件會立即被載入，繼而可以隨時存取使用者的數據和環境。

2．通過Google繪圖進行網絡釣魚

研究人員最近偶然發現了一種有趣的網絡釣魚攻擊，騙子利用Google Drawings（谷歌繪圖功能，即一種協作繪圖工具）來逃避檢測。透過這種技巧，使使用者會收到一個看似是Amazon帳戶驗證的連結，而該連結實際上是托管在Google繪圖工具上的圖形。由於安全團隊將此工具視為安全工具，該釣魚郵件便可躲過檢測。由於郵件內容看似緊急，使用者會點擊驗證連結，該連結包含一個使用WhatsApp URL短網址隱藏的網址。當受害者進入偽裝的Amazon頁面後，他們被要求完成一項安全檢查，需輸入個人資料，如出生日期、電話號碼、帳單地址和信用卡訊息。

3．濫用URL保護服務

隨着安全工具對惡意URL的檢測變得更為有效，詐騙者越來越多地濫用URL保護服務，這原本是為了防範釣魚攻擊而設計的。這些服務的工作原理是：URL保護會重寫業務電子郵件帳戶收到的連結，並將其重新導向回保護服務，以掃描原始連結是否存在惡意內容。如果未發現威脅，使用者將被重定向回原始URL。壞人會設法入侵使用URL保護服務的業務帳戶，然後重寫並重新嵌入他們自己的釣魚連結。一旦完成這一步，這些被重新包裝的URL就會用於有針對性的釣魚活動。目前，大多數URL保護提供者無法分辨這些服務是否由合法使用者或入侵者使用。

4．混合大規模釣魚攻擊與定向式魚叉釣魚攻擊

研究人員發現了一種新的電子郵件釣魚攻擊趨勢，似乎混合了定向式釣魚和大規模釣魚技術。定向式釣魚與大規模釣魚技術通常不同。定向式釣魚針對特定個人（或群體），使用模仿受信任實體的電子郵件內容和風格。而大規模釣魚活動則將通用郵件發送給大量地址。自2023年底以來，大規模電子郵件開始顯示出個性化跡象，例如收件人會以他們的姓名或公司名稱被稱呼。發件人名稱被偽裝，以增加真實感。這一演變表明，攻擊者正在利用人工智慧工具來大規模個性化攻擊，並提升電子郵件設計、傳遞和內容的品質。

5．即時網絡釣魚

即時釣魚是中間人攻擊的一種特定變體，主要是為了繞過傳統的雙因素認證機制。例如，潛在受害者收到將他們引導到欺詐性銀行網站的釣魚郵件（或消息）。當用戶輸入他們的憑證，即用戶名稱和密碼、一次性密碼或代碼時，這些訊息會被詐騙者竊取。用戶被重定向回他們原始的銀行網站，因為偽造的頁面連接到真正的銀行網站。這種即時釣魚攻擊現在相當普遍。暗網市場上有現成的釣魚工具包，能夠繞過傳統的多因素安全控制。

用於網絡釣魚個人的其他駭客技術包括使用Microsoft表單、QR碼、聊天機器人和其他多管道方法，將電子郵件網絡釣魚與簡訊、即時通訊、社群媒體和協作工具相結合。眾所周知，網絡釣魚者還會利用最近的世界事件，例如全球 CrowdStrike停電和巴黎奧運會來進行攻擊。

谷歌地圖新增離線功能

Google近期悄悄更新Wear OS版本的Google Maps，替其新增“離線地圖”功能，讓智慧手錶用戶就算出門沒有網絡連線、沒帶手機，也不怕迷路。

只要更新Wear OS手錶內的Google Maps版本，就能獲得“離線地圖”下載功能，手錶會同步手機內已經設定的地圖資訊。

通過手機開啟Google Maps，並點選右上角的個人頭像－找到“離線地圖”，根據指示下載想要的地圖範圍，接着只要手錶是保持在WiFi連線、充電狀態，系統就會將資訊同步傳送。

有了“離線地圖”之後，出門在外就算不依靠手機網絡，單純攜帶Wear OS手錶也能執行簡單的路線導航、確認地點與店家資訊。需要注意的是，對於容量相當有限的智慧手錶來說離線地圖檔案容量不算少，因此需要多加留意手錶內的剩餘空間。