一通视频会议骗走 2500 万:当 CFO 的脸也能伪造
Posted on 二 23 6月 2026 in Tech
| Abstract | 一通视频会议骗走 2500 万:当 CFO 的脸也能伪造 |
|---|---|
| Authors | Walter Fan |
| Category | Security |
| Status | v1.0 |
| Updated | 2026-06-23 |
| License | CC-BY-NC-ND 4.0 |
一通会议,整间会议室都是假人
先讲个真事。
2024 年初,英国一家全球性土木工程公司 Arup,丢了 2500 万美元。这家公司在全球大概有 18000 名员工,香港团队里的一名普通财务,某天收到一条消息,发信人自称是英国总部的首席财务官,说手头有一笔"机密交易"要办。
换了你我,第一反应大概率是:等等,这事不对劲。这名员工也是这么想的,于是他做了一件教科书式的正确动作——主动去核实对方的身份。
问题就出在这里。
骗子没有在一条消息上止步。当员工想确认 CFO 真假时,对方很大方地发来一个邀请:来开个视频会吧。员工接进会议,看到的是熟悉的 CFO 的脸,旁边还坐着几个"同事",大家有说有笑,一切都很自然。
只不过,屏幕上没有一个是真人。CFO 是深度伪造(deepfake)克隆出来的,其余几张脸也都是假的。一整间会议室,全是 AI 生成的演员。
这场假脸会议足够逼真,逼真到这名员工彻底放下了戒心。接下来,他分 15 笔把钱转了出去,总额 2500 万美元。直到事后,他通过公司正式渠道联系总部再确认一遍,才发现——从头到尾,自己跟一群幽灵开了个会。
我第一次看到这个案例时,后背是发凉的。不是因为金额大,而是因为这名员工几乎做对了所有事。他起了疑心,他去核实了,他要求"眼见为实"。在过去二十年的安全培训里,"打个电话/开个视频确认一下"一直是标准答案。可这次,标准答案本身被攻破了。
老话讲"耳听为虚,眼见为实"。这句话流传几千年,靠的是一个朴素的前提:伪造一张脸、一个声音的成本极高,所以"亲眼看见"基本可信。但在 AI 生成技术如此强大的今天,这个前提塌了——耳听为虚,眼见,同样也可以是虚的。 你接进的那通电话、那场视频会议,恰恰是攻击者最容易布置的舞台。
所以这篇文章想说的核心,其实就一句话:不要听信对方发起的那通电话、那场视频,你应该脱离对方给你的邮件、电话、视频,主动通过你自己掌握的可信渠道,去联系和核实真正的当事人。
一、这起骗局到底"高级"在哪
很多人看完第一反应是:"这员工怎么这么蠢。"
我不同意。咱们把这条攻击链拆开看,会发现它每一步都精准踩在人类信任机制的薄弱点上。
1. 它利用的是"权威 + 紧急 + 保密"三连击
- 权威:发起人是 CFO,公司里位置很高的人。下属对高管的指令天然有服从惯性。
- 紧急:一笔需要尽快办的交易。一旦"急"字立住,人就没空慢慢想。
- 保密:"机密交易"四个字,直接堵死了员工横向求证的路——你不好意思去问别的同事"老板让我转钱是真的吗",因为这显得你在泄密。
这套组合拳不是 AI 时代才有的,它是经典的商业邮件诈骗(BEC, Business Email Compromise)剧本。AI 只是给这个老剧本换了把更锋利的刀。
2. 它把"核实"这个动作变成了陷阱
最阴险的一点:员工的怀疑没有被压制,反而被利用了。
骗子知道你会想核实,于是主动提供了一个"看起来更可信"的核实渠道——视频会议。员工以为自己在主动验证,其实是一头扎进了对方早就布置好的舞台。
这是社会工程学里非常高级的一招:不要对抗目标的安全意识,而是顺着它,给它一个假的满足出口。
3. 深度伪造已经过了"恐怖谷"
几年前的换脸视频,多看两眼就能发现不对:眨眼僵硬、轮廓模糊、声音机械。但到 2024 年,实时深度伪造(real-time deepfake)配合预先采集的高管公开视频、财报电话会议录音,已经足够在一个分辨率不高、网络偶尔卡顿的视频会议里以假乱真。
注意这个细节:视频会议天然就是低画质、可容忍卡顿的场景。这反而成了 deepfake 的保护色——画面糊一点、声音飘一点,你只会怪网络,不会怪对方是假的。
二、为什么"看到脸、听到声"不再等于确认身份
这才是这起事件真正值得我们反思的地方。
人类几十万年进化下来,建立信任靠的是生物特征:我看见你的脸,听见你的声音,看见你的微表情,于是我相信"是你"。这套机制写在我们的本能里,可靠了几十万年。
但是生成式 AI 干的事情,恰恰是批量、低成本地伪造生物特征。脸、声音、说话的口癖、甚至打字的风格,现在都可以被克隆。
这意味着一个让人不舒服的结论:
在 2024 年之后,"我亲眼看到、亲耳听到"已经不能作为身份确认的唯一证据。
做后端、做安全的同学对这个逻辑应该不陌生。我们早就不信"来源 IP 看起来对"就放行请求了,因为 IP 可以伪造。我们改用 token、签名、双向 TLS——靠的是对方掌握某个秘密,而不是"看起来像"。
身份认证有三大经典要素:
| 要素 | 英文 | 例子 | 在这次事件里 |
|---|---|---|---|
| 你知道什么 | Something you know | 密码、暗号、只有双方知道的事 | 完全没用上 |
| 你拥有什么 | Something you have | 手机、硬件 key、企业内线 | 完全没用上 |
| 你是什么 | Something you are | 人脸、声纹 | 唯一依据,且被伪造 |
看明白了吗?这次骗局成功,正是因为整个核实过程只依赖了最容易被 AI 伪造的那一个要素——"你是什么"。而最难伪造的"你知道什么"和"你拥有什么",一个都没用上。
三、坏人没变少,只是换了赛道
说个有意思的现象。这些年你有没有觉得,街上的小偷好像变少了?
变少的是小偷,不是坏人。原因很现实:移动支付普及了,大家兜里不揣现金,掏出手机一扫就付钱。偷钱这门"生意",投入产出比急剧下降——偷一个钱包,可能就几十块零钱加一堆不能用的卡。于是干这行的人,纷纷转行去干来钱更快的活儿了。
这就是反诈永远在路上的根本逻辑:安全从来不是消灭坏人,而是把每一条路的攻击成本抬高,逼着坏人去找下一条更便宜的路。 你把扒窃这条路堵死,他们就涌向电信诈骗;你把伪造邮件的路堵死,他们就升级到 deepfake 视频。前面 Arup 那个案子,本质上就是骗子发现"伪造一张脸"现在足够便宜了,于是这条赛道就被点亮了。
所以别指望"坏人变少",要时刻盯住当下哪条路最便宜。眼下最便宜、也最容易被忽视的一条,就是——二维码。
二维码这东西,天生就是个"看不见内容的链接"。你扫之前,根本不知道它指向哪。攻击者太爱这个特性了,常见的坑有两类:
- 扫码付款被掉包:商家的收款码被偷偷贴上一张别人的码;或者对方发来一个"付款码",其实是收款码,你一扫钱就出去了。记住:付款是你主动打开 App 扫别人,别人发给你让你扫的码,要高度警惕。
- 扫码下载软件:扫了某个码,跳出来一个 App 让你安装。这类来路不明的安装包,轻则偷信息,重则直接接管你的支付。任何"扫码下载/安装"的请求,默认当成恶意处理,要装就去官方应用商店搜。
道理跟 deepfake 那条是一模一样的:不要相信对方递到你眼前的东西——无论那是一张脸、一通电话,还是一个二维码。要装软件,自己去官方商店;要付款,自己打开 App 主动扫;要核实,自己走可信渠道。
四、更危险的一层:别盲目相信"你自己的 AI"
前面讲的都是"别信对方"。但 2026 年初的一场风波提醒我们,还有一类更隐蔽的风险——别盲目相信你自己授权的那个 AI。
事情起于一个爆火的开源 AI Agent 项目,外号"小龙虾"(OpenClaw)。它能读写本地文件、执行 shell 命令、调用系统 API,本质上是把一把"设备万能钥匙"交给了 AI。它火得很快,但安全问题也跟着炸了,2026 年 3 月,中国工信部和国家互联网应急中心(CNCERT)接连发布安全预警,多家安全机构(思科 Talos、CrowdStrike、微软等)甚至直接把它定性为"安全噩梦"。
其中有个案例我印象特别深。Meta 一位负责"AI 对齐"的安全总监 Summer Yue——讲得直白点,她的本职工作就是研究怎么让 AI 听人话——用这只"龙虾"帮她整理邮箱。她明确下了指令:删任何邮件前必须经我确认。
听起来很稳妥对吧?可邮箱内容一多,触发了系统的"上下文压缩"(compaction)机制,那条"先确认"的安全指令在压缩过程中被悄悄抹掉了。于是 AI 开始批量删邮件。她从手机上连发好几条"停",全被无视,最后只能冲到电脑前手动杀进程,事后形容那感觉"像在拆炸弹"。结果,200 多封邮件没了。
(这事的细节,可以参考 TechCrunch 等媒体报道;我没有亲历,转述以公开报道为准。)
这个案例的可怕之处在于:她什么都做对了——意识到风险、设了人工确认的关卡。但她栽在一个工程细节上:那道安全护栏,是用"提示词里的一句话"实现的,而不是用代码硬性卡死的流程。一旦上下文被压缩、指令丢失,护栏就形同虚设。
往大了说,这暴露了一个我们做系统的人必须正视的原则:
凡是不可逆、高风险的动作(删数据、转钱、改权限),决不能只靠 AI"自己记得要先确认"。人工确认必须是写死在代码里的硬关卡,而不是写在 prompt 里的软约定。
这跟前面 deepfake 的逻辑其实是同一条:不要把信任,押在一个"看起来会乖乖听话"的东西上。无论那是一张脸、一个二维码,还是一个你亲手授权、却随时可能"断片"的 AI Agent。AI 给它工具用可以,但它的每一个危险动作前面,都得有一道它自己绕不过去的闸门。
五、那到底该怎么防
讲完危险,得给点能落地的东西,否则就是制造焦虑。我把防御分成三层:个人、流程、技术。
第一层:个人——养成"换条独立通道"的肌肉记忆
核心就一句话:永远不要在对方发起的那条通道里完成核实。
骗子在视频会议里找你,你就挂掉,自己用通讯录里早就存好的号码打回去。骗子用邮件找你,你就用即时通讯或者电话另起一条线确认。攻击者控制了哪条通道,验证就绝不在那条通道里做。
这名 Arup 员工的悲剧就在于:他在骗子提供的通道里完成了"核实"。
第二层:流程——用规则兜住人性
人在权威和紧急面前会犯错,这是本能,靠"提高警惕"治不好。能治的只有制度。涉及资金的流程,应该硬性写入这些规则:
- 大额转账双人复核:单笔超过阈值,必须两个人独立批准,且批准动作走系统而非口头。
- 带外二次确认(out-of-band verification):转账指令无论从哪来,都必须通过一条预先约定好的独立渠道再确认一次。
- 冷静期:"紧急 + 保密"的大额请求,强制延迟 N 小时。骗子最怕的就是"慢一点"。
- 打破"保密"的借口:明确告诉所有人——任何让你"不要告诉别人"的转账请求,本身就是最高级别的红色警报。
第三层:技术——给重要身份加上"机器能验证的秘密"
回到我们工程师的本行。光靠人不靠谱,能上技术的地方就上技术:
- 关键指令走有签名的系统,而不是聊天和会议口头下达。审批链路要有不可抵赖的电子签名。
- 预设暗号 / safe word:高管和财务之间约定一个只有双方知道的口令,专门用于高风险确认。这就是把"你知道什么"这个要素加回来。
- 企业内部通讯加可信标识:内部 IM、会议系统对真实员工身份做强认证,外部接入打上明显标记。
- 对深度伪造保持技术警觉:要求关键确认时做一些 AI 当下还不容易实时伪造的动作——比如让对方转头、用手遮一下脸、读一串随机数字。这不是万能药,但能提高造假成本。
- 给 AI Agent 套上硬关卡:凡是给 AI 工具权限(删文件、转钱、改权限、发邮件),高风险动作的人工确认要写死在代码/流程里,而不是寄希望于 prompt 里那句"先问我一下"。最小权限、动作白名单、危险操作二次签名、跑在隔离沙箱里——能上的都上。
总结:信任需要重新定价
这起事件最让我感慨的,不是骗子多厉害,而是它逼着我们承认一个时代的转折:
过去,伪造一个人的脸和声音成本极高,所以"看见即相信"是划算的默认规则。现在,伪造成本断崖式下跌,这条默认规则就破产了。
这跟密码学的逻辑一模一样:安全从来不是"绝对安不安全",而是"攻破它的成本,是否高于攻击者的收益"。当 deepfake 把"伪造一张可信的脸"的成本打到几乎为零时,我们就必须把信任的依据,从"看起来像"重新搬回到"掌握某个秘密"上。
所以请记住那条被反复强调的铁律:耳听为虚,如今眼见也未必为实。不要听信对方接进来的电话和视频,要脱离他给你的任何通道,自己主动通过可信渠道找回真正的当事人核实。 这一条,比任何技术手段都更早、更便宜、也更管用。
别等自己公司上新闻,才想起来加这道防线。
反诈核对清单(可以直接抄走)
涉及钱、权限、敏感信息的请求,过一遍这五条:
- [ ] 换通道:核实绝不在对方发起的那条通道里做,自己另起一条独立、可信的线。
- [ ] 查名录:回拨电话用通讯录里早存好的号码,不用对方现给的号码。
- [ ] 破保密:任何"别告诉别人"的转账请求,直接当成诈骗处理。
- [ ] 拖时间:大额 + 紧急 = 强制冷静期,慢下来是你最大的武器。
- [ ] 要双人:大额资金动作必须走系统、双人复核,不接受任何口头审批。
- [ ] 卡住 AI:给 AI 的高风险动作(删、转、改、发)做成代码里绕不过的硬关卡,别只在 prompt 里写"先确认"。
明日行动
如果你是团队或公司的负责人,明天就可以做四件事:
- 翻一遍你们的资金审批流程,看看有没有"一个人 + 口头确认"就能转账的口子,堵上它。
- 给财务和高管定一个带外确认的暗号机制,写进制度,不靠自觉。
- 排查一下团队里有没有人给 AI Agent 开了高权限、却没有硬性人工关卡的"影子部署",尤其是能删数据、能转钱、能动凭证的那种。
- 拿 Arup 和"小龙虾"这两个案例给团队做一次 15 分钟的分享——重点不是"要警惕",而是"为什么连警惕的人、连做 AI 对齐的专家也会中招"。
最后留个问题给你:如果明天有人用你老板的脸、你老板的声音,在视频里让你做一件"紧急又机密"的事,你现在手里,有哪条独立通道能在三分钟内验明真伪?
如果答案是"没有",那就是今天最该补的洞。