【智經時事分析】網絡時代騙局趨精密 認識社交工程防詐

「你有一個快遞包裹出現問題……」香港市民對這類假冒速遞公司的電話錄音相信毫不陌生。騙徒手法層出不窮，近年部署更愈發精密，由普通白領到億萬富豪、中小企到大型對沖基金，均為層層布局所騙。為防墮入騙局，大眾有必要了解其背後無孔不入的心理陷阱。

香港警方去年錄得一點五五萬宗詐騙案，較一九年的八千二百一十六宗升近九成，當中以網上購物騙案增幅最多，按年急升兩倍至六千六百七十八宗，電話騙案和網上情緣騙案分別升八成和五成，錄得一千一百九十三和九百零五宗。

不論騙徒是假扮浪慢情人或內地官員，透過打電話或社交媒體文字通訊接觸受害人，講到底還是靠「捉心理」呃人。其中的社交工程（social engineering）手段，在網絡時代特別流行。

社交工程騙局是圍繞人們的思維和行為方式建立的，騙徒會以謊言「建構」出可信的情景，讓目標人物感到驚慌或緊張，將個人資料和金錢乖乖奉上。

社交工程攻擊通常會採取三種策略，令目標人物作出原來不會採取的舉動。第一招是「操縱情緒」，騙徒會煽動受害人情緒高漲，包括出現害怕、激動、有罪惡感等情緒，使其更容易被說服作出不理性的行動。

第二招是「事態緊急」，騙徒會創造嚴重問題為幌子，訛稱情況緊急，而逼使受害人妥協作出特定行為，又或以隨時會消失的獎賞，引誘受害人不經深思快速行動。

第三招是「構建信任」，騙徒會對受害人作深入研究，在溝通過程使對方容易相信和不會起疑，以取得受害人的信任。

不少港人受害的網戀騙案，都涉及這三大策略。愛情騙子會調查受害人的生活習慣和喜好，並利用假相偽造身分，例如駐海外軍人、成功商人等，然後主動結識受害人。騙徒在交往過程中向受害人噓寒問暖，博得受害人全心信任。當騙徒掌握受害人的身分、工作及收入，便可能以生意遇急事向目標求助，並把事情說得十分危急，使受害人未必有時間深入考慮判斷事件真假。另外，由於雙方已建立關係，使受害人難以拒絕對方要求。類似的故事，往往以受害人解囊襄助，騙徒人間蒸發結尾。

從上述例子不難發現，社交工程詐騙一般經歷一個攻擊周期：準備、滲透、攻擊，最後終止聯絡。早前外媒報道一宗針對小型金融機構的詐騙案，正好解釋騙徒如何隨着社交工程攻擊周期，將魔爪延伸至商業機構。

事主是一名管理家族財富的私人投資者，設有家族信託基金，並定期與歐洲小型金融公司合作。騙徒藉假扮事主家族信託基金的受託人，騙取事主的資產。騙徒首先透過黑客入侵列支敦士登一家金融服務公司，得到該名受託人工作往來的電郵，繼而仔細研究受託人的習慣和交談風格。這正是攻擊周期的第一步，騙徒會預先收集目標人物或其所屬機構的背景資料，為滲透作準備。

來到第二步，騙徒會開始滲透，與目標人物建立關係和互動。案件中，騙徒模仿真受託人撰寫電郵的風格和中歐問候語，冒名發電郵予事主，提及事主的定期貸款。事主絲毫不察覺發電郵的不是真受託人，回覆了電郵。滲透歷時約兩個月，騙徒攔截了真受託人的電郵，還假扮了事主的律師，利用電郵資料「完善」騙局，前後有近三十封電郵往來。

當和目標成功建立信任和找出弱點，騙徒便會向目標發動攻擊。事件中，騙徒在完全得到事主的信任後，誘導他將定期還款存入另一銀行帳戶，事主聽從向銀行發出付款指令。

最後，一旦目標完成指定行為，便終止接觸。事主下指令後，撥號至騙徒提供的英國電話以確認轉帳，但已無人接聽。幸運的是，事主有致電給真正的受託人，因而揭發騙案，而銀行又尚未過數，才成功截停該筆一千萬歐羅的還款。

騙徒手法層出不窮，但不代表無迹可尋。就像上述差點損失巨款的家族基金投資者，假如事主足夠細心，或會發現騙徒發出首封電郵的電郵地址，跟真正的基金受託人有些微差別。

為防範社交工程陷阱，市民收到查問個人或機構其他內部人員資訊的訊息時，應保持警惕，仔細檢查對方電子郵件地址和社交平台的個人資料。若對方聲稱為親友或可信機構，應直接聯絡該親友或機構查明身分。大眾亦應留意個人情緒狀態，因高漲情緒會令你無法冷靜判斷個人行動的後果。

騙徒投放時間和心思，層層鋪排騙局，看似防不勝防。但大眾除了提高警惕，亦可了解社交工程等行騙手法，加強辨識騙局的能力。

（全文見智經研究中心網頁：www.bauhinia.org）

智經研究中心