【智经时事分析】网络时代骗局趋精密 认识社交工程防诈
2021-06-21 00:00「你有一个快递包裹出现问题……」香港市民对这类假冒速递公司的电话录音相信毫不陌生。骗徒手法层出不穷,近年部署更愈发精密,由普通白领到亿万富豪、中小企到大型对冲基金,均为层层布局所骗。为防堕入骗局,大众有必要了解其背后无孔不入的心理陷阱。
不论骗徒是假扮浪慢情人或内地官员,透过打电话或社交媒体文字通讯接触受害人,讲到底还是靠「捉心理」呃人。其中的社交工程(social engineering)手段,在网络时代特别流行。
社交工程骗局是围绕人们的思维和行为方式建立的,骗徒会以谎言「建构」出可信的情景,让目标人物感到惊慌或紧张,将个人资料和金钱乖乖奉上。
社交工程攻击通常会采取三种策略,令目标人物作出原来不会采取的举动。第一招是「操纵情绪」,骗徒会煽动受害人情绪高涨,包括出现害怕、激动、有罪恶感等情绪,使其更容易被说服作出不理性的行动。
第二招是「事态紧急」,骗徒会创造严重问题为幌子,讹称情况紧急,而逼使受害人妥协作出特定行为,又或以随时会消失的奖赏,引诱受害人不经深思快速行动。
第三招是「构建信任」,骗徒会对受害人作深入研究,在沟通过程使对方容易相信和不会起疑,以取得受害人的信任。
不少港人受害的网恋骗案,都涉及这三大策略。爱情骗子会调查受害人的生活习惯和喜好,并利用假相伪造身分,例如驻海外军人、成功商人等,然后主动结识受害人。骗徒在交往过程中向受害人嘘寒问暖,博得受害人全心信任。当骗徒掌握受害人的身分、工作及收入,便可能以生意遇急事向目标求助,并把事情说得十分危急,使受害人未必有时间深入考虑判断事件真假。另外,由于双方已建立关系,使受害人难以拒绝对方要求。类似的故事,往往以受害人解囊襄助,骗徒人间蒸发结尾。
从上述例子不难发现,社交工程诈骗一般经历一个攻击周期:准备、渗透、攻击,最后终止联络。早前外媒报道一宗针对小型金融机构的诈骗案,正好解释骗徒如何随着社交工程攻击周期,将魔爪延伸至商业机构。
事主是一名管理家族财富的私人投资者,设有家族信托基金,并定期与欧洲小型金融公司合作。骗徒藉假扮事主家族信托基金的受托人,骗取事主的资产。骗徒首先透过黑客入侵列支敦士登一家金融服务公司,得到该名受托人工作往来的电邮,继而仔细研究受托人的习惯和交谈风格。这正是攻击周期的第一步,骗徒会预先收集目标人物或其所属机构的背景资料,为渗透作准备。
来到第二步,骗徒会开始渗透,与目标人物建立关系和互动。案件中,骗徒模仿真受托人撰写电邮的风格和中欧问候语,冒名发电邮予事主,提及事主的定期贷款。事主丝毫不察觉发电邮的不是真受托人,回覆了电邮。渗透历时约两个月,骗徒拦截了真受托人的电邮,还假扮了事主的律师,利用电邮资料「完善」骗局,前后有近三十封电邮往来。
当和目标成功建立信任和找出弱点,骗徒便会向目标发动攻击。事件中,骗徒在完全得到事主的信任后,诱导他将定期还款存入另一银行帐户,事主听从向银行发出付款指令。
最后,一旦目标完成指定行为,便终止接触。事主下指令后,拨号至骗徒提供的英国电话以确认转帐,但已无人接听。幸运的是,事主有致电给真正的受托人,因而揭发骗案,而银行又尚未过数,才成功截停该笔一千万欧罗的还款。
骗徒手法层出不穷,但不代表无迹可寻。就像上述差点损失巨款的家族基金投资者,假如事主足够细心,或会发现骗徒发出首封电邮的电邮地址,跟真正的基金受托人有些微差别。
为防范社交工程陷阱,市民收到查问个人或机构其他内部人员资讯的讯息时,应保持警惕,仔细检查对方电子邮件地址和社交平台的个人资料。若对方声称为亲友或可信机构,应直接联络该亲友或机构查明身分。大众亦应留意个人情绪状态,因高涨情绪会令你无法冷静判断个人行动的后果。
骗徒投放时间和心思,层层铺排骗局,看似防不胜防。但大众除了提高警惕,亦可了解社交工程等行骗手法,加强辨识骗局的能力。
(全文见智经研究中心网页:www.bauhinia.org)
智经研究中心
關鍵字
最新回应