*

upload_article_image

【智經時事分析】網絡時代騙局趨精密 認識社交工程防詐

  「你有一個快遞包裹出現問題……」香港市民對這類假冒速遞公司的電話錄音相信毫不陌生。騙徒手法層出不窮,近年部署更愈發精密,由普通白領到億萬富豪、中小企到大型對沖基金,均為層層布局所騙。為防墮入騙局,大眾有必要了解其背後無孔不入的心理陷阱。
  香港警方去年錄得一點五五萬宗詐騙案,較一九年的八千二百一十六宗升近九成,當中以網上購物騙案增幅最多,按年急升兩倍至六千六百七十八宗,電話騙案和網上情緣騙案分別升八成和五成,錄得一千一百九十三和九百零五宗。
  不論騙徒是假扮浪慢情人或內地官員,透過打電話或社交媒體文字通訊接觸受害人,講到底還是靠「捉心理」呃人。其中的社交工程(social engineering)手段,在網絡時代特別流行。
  社交工程騙局是圍繞人們的思維和行為方式建立的,騙徒會以謊言「建構」出可信的情景,讓目標人物感到驚慌或緊張,將個人資料和金錢乖乖奉上。
  社交工程攻擊通常會採取三種策略,令目標人物作出原來不會採取的舉動。第一招是「操縱情緒」,騙徒會煽動受害人情緒高漲,包括出現害怕、激動、有罪惡感等情緒,使其更容易被說服作出不理性的行動。
  第二招是「事態緊急」,騙徒會創造嚴重問題為幌子,訛稱情況緊急,而逼使受害人妥協作出特定行為,又或以隨時會消失的獎賞,引誘受害人不經深思快速行動。
  第三招是「構建信任」,騙徒會對受害人作深入研究,在溝通過程使對方容易相信和不會起疑,以取得受害人的信任。
  不少港人受害的網戀騙案,都涉及這三大策略。愛情騙子會調查受害人的生活習慣和喜好,並利用假相偽造身分,例如駐海外軍人、成功商人等,然後主動結識受害人。騙徒在交往過程中向受害人噓寒問暖,博得受害人全心信任。當騙徒掌握受害人的身分、工作及收入,便可能以生意遇急事向目標求助,並把事情說得十分危急,使受害人未必有時間深入考慮判斷事件真假。另外,由於雙方已建立關係,使受害人難以拒絕對方要求。類似的故事,往往以受害人解囊襄助,騙徒人間蒸發結尾。
  從上述例子不難發現,社交工程詐騙一般經歷一個攻擊周期:準備、滲透、攻擊,最後終止聯絡。早前外媒報道一宗針對小型金融機構的詐騙案,正好解釋騙徒如何隨着社交工程攻擊周期,將魔爪延伸至商業機構。
  事主是一名管理家族財富的私人投資者,設有家族信託基金,並定期與歐洲小型金融公司合作。騙徒藉假扮事主家族信託基金的受託人,騙取事主的資產。騙徒首先透過黑客入侵列支敦士登一家金融服務公司,得到該名受託人工作往來的電郵,繼而仔細研究受託人的習慣和交談風格。這正是攻擊周期的第一步,騙徒會預先收集目標人物或其所屬機構的背景資料,為滲透作準備。
  來到第二步,騙徒會開始滲透,與目標人物建立關係和互動。案件中,騙徒模仿真受託人撰寫電郵的風格和中歐問候語,冒名發電郵予事主,提及事主的定期貸款。事主絲毫不察覺發電郵的不是真受託人,回覆了電郵。滲透歷時約兩個月,騙徒攔截了真受託人的電郵,還假扮了事主的律師,利用電郵資料「完善」騙局,前後有近三十封電郵往來。
  當和目標成功建立信任和找出弱點,騙徒便會向目標發動攻擊。事件中,騙徒在完全得到事主的信任後,誘導他將定期還款存入另一銀行帳戶,事主聽從向銀行發出付款指令。
  最後,一旦目標完成指定行為,便終止接觸。事主下指令後,撥號至騙徒提供的英國電話以確認轉帳,但已無人接聽。幸運的是,事主有致電給真正的受託人,因而揭發騙案,而銀行又尚未過數,才成功截停該筆一千萬歐羅的還款。
  騙徒手法層出不窮,但不代表無迹可尋。就像上述差點損失巨款的家族基金投資者,假如事主足夠細心,或會發現騙徒發出首封電郵的電郵地址,跟真正的基金受託人有些微差別。
  為防範社交工程陷阱,市民收到查問個人或機構其他內部人員資訊的訊息時,應保持警惕,仔細檢查對方電子郵件地址和社交平台的個人資料。若對方聲稱為親友或可信機構,應直接聯絡該親友或機構查明身分。大眾亦應留意個人情緒狀態,因高漲情緒會令你無法冷靜判斷個人行動的後果。
  騙徒投放時間和心思,層層鋪排騙局,看似防不勝防。但大眾除了提高警惕,亦可了解社交工程等行騙手法,加強辨識騙局的能力。
  (全文見智經研究中心網頁:www.bauhinia.org)
  智經研究中心

往下看更多文章