【智经时事分析】网络时代骗局趋精密 认识社交工程防诈

「你有一个快递包裹出现问题……」香港市民对这类假冒速递公司的电话录音相信毫不陌生。骗徒手法层出不穷，近年部署更愈发精密，由普通白领到亿万富豪、中小企到大型对冲基金，均为层层布局所骗。为防堕入骗局，大众有必要了解其背后无孔不入的心理陷阱。

香港警方去年录得一点五五万宗诈骗案，较一九年的八千二百一十六宗升近九成，当中以网上购物骗案增幅最多，按年急升两倍至六千六百七十八宗，电话骗案和网上情缘骗案分别升八成和五成，录得一千一百九十三和九百零五宗。

不论骗徒是假扮浪慢情人或内地官员，透过打电话或社交媒体文字通讯接触受害人，讲到底还是靠「捉心理」呃人。其中的社交工程（social engineering）手段，在网络时代特别流行。

社交工程骗局是围绕人们的思维和行为方式建立的，骗徒会以谎言「建构」出可信的情景，让目标人物感到惊慌或紧张，将个人资料和金钱乖乖奉上。

社交工程攻击通常会采取三种策略，令目标人物作出原来不会采取的举动。第一招是「操纵情绪」，骗徒会煽动受害人情绪高涨，包括出现害怕、激动、有罪恶感等情绪，使其更容易被说服作出不理性的行动。

第二招是「事态紧急」，骗徒会创造严重问题为幌子，讹称情况紧急，而逼使受害人妥协作出特定行为，又或以随时会消失的奖赏，引诱受害人不经深思快速行动。

第三招是「构建信任」，骗徒会对受害人作深入研究，在沟通过程使对方容易相信和不会起疑，以取得受害人的信任。

不少港人受害的网恋骗案，都涉及这三大策略。爱情骗子会调查受害人的生活习惯和喜好，并利用假相伪造身分，例如驻海外军人、成功商人等，然后主动结识受害人。骗徒在交往过程中向受害人嘘寒问暖，博得受害人全心信任。当骗徒掌握受害人的身分、工作及收入，便可能以生意遇急事向目标求助，并把事情说得十分危急，使受害人未必有时间深入考虑判断事件真假。另外，由于双方已建立关系，使受害人难以拒绝对方要求。类似的故事，往往以受害人解囊襄助，骗徒人间蒸发结尾。

从上述例子不难发现，社交工程诈骗一般经历一个攻击周期：准备、渗透、攻击，最后终止联络。早前外媒报道一宗针对小型金融机构的诈骗案，正好解释骗徒如何随着社交工程攻击周期，将魔爪延伸至商业机构。

事主是一名管理家族财富的私人投资者，设有家族信托基金，并定期与欧洲小型金融公司合作。骗徒藉假扮事主家族信托基金的受托人，骗取事主的资产。骗徒首先透过黑客入侵列支敦士登一家金融服务公司，得到该名受托人工作往来的电邮，继而仔细研究受托人的习惯和交谈风格。这正是攻击周期的第一步，骗徒会预先收集目标人物或其所属机构的背景资料，为渗透作准备。

来到第二步，骗徒会开始渗透，与目标人物建立关系和互动。案件中，骗徒模仿真受托人撰写电邮的风格和中欧问候语，冒名发电邮予事主，提及事主的定期贷款。事主丝毫不察觉发电邮的不是真受托人，回覆了电邮。渗透历时约两个月，骗徒拦截了真受托人的电邮，还假扮了事主的律师，利用电邮资料「完善」骗局，前后有近三十封电邮往来。

当和目标成功建立信任和找出弱点，骗徒便会向目标发动攻击。事件中，骗徒在完全得到事主的信任后，诱导他将定期还款存入另一银行帐户，事主听从向银行发出付款指令。

最后，一旦目标完成指定行为，便终止接触。事主下指令后，拨号至骗徒提供的英国电话以确认转帐，但已无人接听。幸运的是，事主有致电给真正的受托人，因而揭发骗案，而银行又尚未过数，才成功截停该笔一千万欧罗的还款。

骗徒手法层出不穷，但不代表无迹可寻。就像上述差点损失巨款的家族基金投资者，假如事主足够细心，或会发现骗徒发出首封电邮的电邮地址，跟真正的基金受托人有些微差别。

为防范社交工程陷阱，市民收到查问个人或机构其他内部人员资讯的讯息时，应保持警惕，仔细检查对方电子邮件地址和社交平台的个人资料。若对方声称为亲友或可信机构，应直接联络该亲友或机构查明身分。大众亦应留意个人情绪状态，因高涨情绪会令你无法冷静判断个人行动的后果。

骗徒投放时间和心思，层层铺排骗局，看似防不胜防。但大众除了提高警惕，亦可了解社交工程等行骗手法，加强辨识骗局的能力。

（全文见智经研究中心网页：www.bauhinia.org）

智经研究中心