资讯安全观点 Information Security

在网路上聊天，个人资料很容易就被对方取得了。而且原以为对方是个漂亮辣妹，结果原来是个冷冰冰的机器...
创造出具有人工智慧，能够与人自由对谈的程式或机器人，一直是科学界与工程界努力的目标。

有上过计算机概论或人工智慧课程的人应该都听过Turing Test，这是Alan Turing早在1950年的论文"Computing machinery and intelligence"所提出的概念。Alan Turing认为，要判断一部机器是否具有智慧，应该要有一个放诸四海皆準的测试方法。他所提出的方法是由一个担任裁判的人类，分别与要测试的机器及另一个人类对谈。如果担任裁判的人类，无法很有把握的分别出他所交谈的对象那个是机器，那个是人类，那么，这部机器就算是通过了Turing Test。

为了将这个测试限缩在机器的语言智慧能力，而不是在其他功能(例如text-to-speech)，担任裁判的人类只能利用纯文字对谈管道与接受测试的对象沟通(例如文字终端机介面)Turing test是不是真能判断程式具有「智慧」仍有争议，不过，对坏人来说，这种学理的探讨完全是多余的。苏联的骇客已经开始利用可以和人进行自由对话的chatbot程式来窃取个人隐私身分资料。这样的方式威力何在？我们先回过头来看看目前电脑上个人资料遭窃取的主要过程：对一个有心要透过网路窃取个资的骇客来说，目前主要都是利用恶意网站或电子邮件当作媒介，将木马程式及键盘侧录程式安装在被害人的电脑上。当被害人在网路银行或电子商务网站进行交易时，这些恶意侧录程式便会窃取网路银行的帐号密码或信用卡卡号。只是目前越来越多使用者已经被教育不要随便点选电子邮件或即时通讯软体中的可疑连结，因此骇客要安装木马程式的困难度是提高了不少。

此外，对贪心的经济罪犯来说，光只有网路帐号密码或信用卡卡号也许还不够，如果能够把其他的个人资料(例如身分字号、电话、生日及住址等)与信用卡卡号再整合起来，那所能够创造的「经济效益」将会更大。不过，要将个人资料与信用卡卡号资讯整合起来，通常还需要在被害人的电脑上面做进一步的资料分析，这还是会耗费相当多的人力成本。

针对上面提到的两个问题，苏联的骇客开发了一套叫做CyberLover的chatbot来提高安装木马程式的机率，与降低窃取个人资料的成本。这个CyberLover能够进入聊天室内，在30分钟内与10个人建立对谈关係。由于CyberLover能与被害人建立一个完整的对话情境，而进入聊天室的人大多也习惯会透露出个人的背景资料，以便能够与交谈的对象建立后续的关係，因此CyberLover就能够在被害人不知觉的情况下获得个人资料。

CyberLover还能够进一步导引被害人到含有木马程式的Social Network网站中，以便在被害人网站上安装木马程式及键盘侧录程式。CyberLover最后会将对谈的过程彙整成为一份报告，将其中个人资料的部分萃取出来。虽然报导中并没有提及与CyberLover对谈被发现是chatbot的机率有多高，但可以预见的趋势是：未来网路诈骗与社交工程入侵，势必将结合更多的人工智慧技术在内。