商傳媒|何映辰/台北報導
美國聯邦調查局(FBI)於今年4月公布的年度《網路犯罪投訴中心報告》(Internet Crime Complaint Center, IC3)指出,2025年美國民眾因網路犯罪損失高達208.77億美元,較2024年的166億美元大幅增加26%,創下歷史新高。這也是該中心成立25年來,年度投訴案件數首次突破百萬宗,總計收到1,008,597宗投訴。
該報告強調,208.77億美元僅為已通報的損失金額,由於網路犯罪普遍存在低報現象,實際總損失遠超此數。其中,投資詐騙是2025年造成損失最為嚴重的類別,金額高達86億美元,且是增長最快的詐騙類型。這類詐騙主要為「殺豬盤」手法,詐騙者會耗費數週甚至數月建立信任關係,隨後誘導受害者將資金投入虛假加密貨幣投資平台,並利用偽造的獲利數據誘騙更多資金,直至最終捲款潛逃。這些詐騙集團大多在東南亞地區營運,尤以柬埔寨、緬甸和寮國為甚,並強迫販運人口進行大規模的社交工程詐騙。
報告也特別指出,人工智慧(AI)技術在網路犯罪中的應用日益普及。AI語音與影像工具,如深度偽造視訊詐騙(deepfake video fraud)和合成音訊詐騙(synthetic audio fraud),讓冒充手法變得更加逼真,受害者難以分辨接觸對象是真人還是由AI生成的角色。FBI在2025年首次將AI相關網路犯罪單獨歸類,儘管已通報的損失金額約9億美元,但FBI坦言,AI工具已被廣泛用於各種詐騙類型,實際的參與程度遠高於此。
商業電子郵件詐騙(Business Email Compromise, BEC)在2025年造成約30億美元的損失。此類詐騙無需惡意軟體或技術入侵,而是透過精巧的電子郵件,冒充財務長、執行長或外部供應商,指示財務團隊將資金轉帳至攻擊者控制的帳戶。隨著AI技術的發展,詐騙者甚至能複製高階主管的寫作風格,使得詐騙信件更難以辨識。
此外,醫療保健和公共衛生領域在2025年遭受460宗勒索軟體攻擊事件,數量是傳統資料外洩(182宗)的2.5倍。FBI指出,醫療資料的時效性、資安投資不足以及避免違反《健康保險流通與責任法》(HIPAA)的監管壓力,使醫療機構成為高價值勒索目標,平均贖金要求超過200萬美元。FBI雖不建議支付贖金,但承認許多組織為避免危及患者安全,最終選擇支付。
為應對不斷演變的威脅,FBI在報告中提醒,商業電子郵件詐騙不應被視為單純的電子郵件安全問題,其攻擊向量為「人類行為」。報告指出,「訓練員工辨識錯誤文法已過時」,因AI生成的網路釣魚郵件文法完美、語境準確且高度個人化。資安意識訓練應轉變為「在行動前透過第二管道驗證」。針對醫療機構,FBI強調不可變更備份、隔離臨床系統與行政網路的網路分段,以及經過測試的復原程序,是處理患者資料系統的最低可行安全架構。
