詐騙 2.0 時代:AI 精算你的反應,不再靠亂槍打鳥,而是精準「收割信任」
社交工程本質上是一種建立虛假敘事的策略,透過操縱受害者的輕信、貪婪、好奇心,或其他人性弱點,誘使其做出不利行為。攻擊者持續強化既有手法,並不斷導入新興技術,以提高其詐騙的成功率。
社交工程的本質與演變
網路犯罪分子的社交工程策略,是一種透過欺騙引導受害者自願洩露資訊或執行某些動作的手法。這些資訊可能是個資(如姓名、電子郵件)、財務資料(如信用卡號、加密貨幣錢包)或是執行惡意程式、安裝後門等行為。
現代攻擊大致可分為兩類:針對機器與針對人類。針對機器的攻擊始於 1996 年經典文章《為了樂趣和利益而粉碎堆疊》(Smashing the Stack for Fun and Profit),而針對人類的攻擊——即社交工程——至今仍是最普遍且高效的攻擊方式。幾乎所有非漏洞型攻擊中都含有社交工程元素,攻擊者會試圖說服受害者執行對自己有害的行為。
社交工程的三要素
社交工程攻擊可拆解為三大元素:
- 媒介(Medium):攻擊者與受害者互動的通道,例如電話、電子郵件、社群媒體或即時通訊工具。
- 謊言(Lie):攻擊者編造虛構情境或緊急狀況,激起受害者的回應。
- 要求(Ask):誘導受害者執行特定行動,如提供帳密、下載惡意程式、投資虛假計畫等。
這三要素構成經典的詐騙流程:聯繫 → 謊言 → 要求。
新興威脅:媒介的演變
隨著科技發展,攻擊者獲得更多觸及受害者的管道,以下是值得關注的幾項新媒介:
穿戴式設備:如智慧手錶、健身追蹤器等始終在線且高度信任的裝置,使攻擊更具可信度。攻擊者可利用裝置漏洞進行資料竊取、誘導用戶點擊更新連結,甚至發動 DDoS 攻擊。
聊天機器人與數位助理:透過污染訓練資料、操縱對話內容,甚至誤導數位助理執行惡意操作。這類攻擊在私人部署、可變資料來源的 AI 模型中特別具有威脅。
AI輔助的變臉詐騙 (BEC) 攻擊:使用大型語言模型模仿 CEO 的溝通風格,延續原有郵件線索,提升詐騙可信度,未來可能進一步自動化。
延伸閱讀:
CEO 邀請加入Teams會議?竟是駭客冒充的!
企業高層帳號賣家以「Office 365密碼過期」釣魚信,鎖定全球 CEO等高階主管!
虛擬實境(VR)/擴增實境(AR):攻擊者可嵌入惡意 URL 或二維碼於虛擬物件中,透過互動觸發惡意行為。
進階 QR Code 攻擊:例如在合法 QR Code 上貼上偽造貼紙,或在傳輸過程中插入惡意碼,誘導用戶掃描並連接至惡意網站。
◎ 延伸閱讀:
最容易掉入Quishing (QR code 網路釣魚)陷阱的三種人
信箱裡7-11統一超商回饋 200 元禮券是假的!千萬別掃 QR Code ,當心個資被冒用!
謊言的進化
生成式人工智慧(GenAI)的崛起,為詐騙故事的擴展與靈活性帶來巨大提升。以下是幾個創新謊言策略:
- AI 炒作作為誘餌:例如虛構與 ChatGPT 或 VR 有關的應用工具,實為惡意軟體。利用使用者對 AI 工具的好奇,誘導其下載執行。 延伸閱讀:AI一鍵脫衣,假裸照真勒索!想體驗AI脫衣魔法?當心反被勒索病毒扒光錢包
- 深偽技術(Deepfake):加入影像、語音、影片造假元素,提高詐騙的真實感與信任度,特別適用於電話詐騙或影片詐騙。 延伸閱讀:最會演的AI!投資人、HR、愛情暈船者必須了解的三種 Deepfake深偽詐騙影片
- 動態謊言系統:由 AI 自動與使用者互動,初期建立信任後再轉由人類詐騙者接手,提升詐騙效率與轉化率。
- 可預測謊言(Predictable Lies):將潛在受害者群體分群進行 A/B 測試,根據反應遴選出最容易受騙者,進行更有針對性的攻擊。例如預測比特幣走勢,讓受害者逐步信任詐騙者的判斷,進而投資。
社交工程攻擊進入 AI 量產與客製化兼具的新階段
推動社交工程詐騙邁向新世代的關鍵創新,正是人工智慧(AI)。雖然社交工程中的謊言會隨季節、地區及目標族群而有所不同,但由於 AI 提供的高度擴展性與靈活性,這些攻擊手法的變化速度正迅速提升。
生成式人工智慧(GenAI)在圖像、音訊與視訊的合成上表現出色,在文字方面更能快速產出可信內容並處理大量文本資料。這樣的能力為「謊言」的製造與操作打開了全新的可能性,使社交工程攻擊進入量產與客製化兼具的新階段。
攻擊者未來可藉由 AI 本身作為「謊言主題」,打造出更具說服力的詐騙情境。例如,圍繞 ChatGPT 或虛擬實境(VR)等熱門科技設計的虛假資訊,能夠吸引目標族群的注意。同時,駭客亦可能開發偽裝成 AI 工具的惡意軟體,誘騙對深偽技術(deepfake)感興趣的圖像或影片創作者下載、安裝並中招。
◎趨勢科技AI 防詐達人可及時提醒您視訊對象可能是假冒的瞭解更多AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
進一步地,將深偽圖像或影片整合進既有詐騙手法中,更能提升整體可信度。這類結合 AI 合成技術的詐騙策略,已在現實威脅情境中迅速升溫,未來可能對社交工程詐騙帶來毀滅性影響,成為攻擊者大量採用的手段。
另一項值得關注的未來趨勢,是基於 AI 的動態謊言系統。這種系統可模擬真實對話,主動與使用者互動並逐步建立信任,之後再提出詐騙請求。趨勢科技在 2021 年的論文〈人工智慧的用途與濫用〉(Uses and Abuses of AI )中,即曾探討此一概念:用 AI 自動化初期電子郵件互動,藉由觀察使用者回應判斷其易受騙程度。一旦確認對象可能上鉤,便由人類詐騙者接手對話,以提高詐騙成功率。
此外,還有一種名為「可預測的謊言」(Predictable Lies)的新型詐騙模式,結合 A/B 測試的策略。該方法將潛在受害者資料庫分組,並向不同群體分別發送內容略有差異的詐騙訊息。透過觀察反應,逐步篩選出最有可能上當的人群。
例如,若詐騙者聲稱可預測市場走勢,會先讓一半受害者收到「看漲」的預測,另一半收到「看跌」。若事件結果符合詐騙方提供的預測,受害者將產生信任,進而在下一次收到更進階的預測時更願意跟隨。連續收到兩次正確預測的對象,就可能成為最終「邀請投資比特幣」等詐騙的目標。
這種做法雖減少了總體可攻擊人數,但大幅提升了每一位目標的詐騙成功率,是一種針對高潛力受害者所進行的精準詐騙篩選機制,預示著 AI 驅動的詐騙將從「廣撒網」邁向「深耕式」詐術的新紀元。
小結
AI時代下的社交工程威脅演進
隨著運算能力與科技的飛速進步,網路威脅的樣貌正經歷重大轉變。駭客不斷創新,無論是改進現有技術或開發全新手法,都為社交工程領域帶來了巨大的進步空間。我們觀察到,由於新技術的普及和成本降低,駭客正利用這些技術不斷提升社交工程攻擊的影響力。
AI技術已逐漸融入社交工程。駭客開始利用AI生成欺騙性內容,甚至設計出AI驅動的自動化系統,使社交工程能更大規模地擴散。然而,考量到生成式AI(GenAI)的發展現況,社交工程技術仍有許多可改進之處。
社交工程的創新與目標:
我們預見的社交工程創新主要源於詐欺手法的改進。
- 媒介的增加: 意味著駭客正發展出新的方法來誘騙受害者。隨著科技發展,駭客預計將利用更多元、更難以預測的方式進行詐騙,包括透過VR、AR、穿戴式裝置、AI和聊天機器人等技術。
- 詐術的改進: 詐欺者會編造更完美的故事來贏得受害者的信任。駭客將更具創意地設計謊言以矇騙受害者。
無論媒介如何改變,駭客的終極目標始終不變:獲取使用者的登入憑證、個人資料和金融資訊等敏感資訊。當詐騙規模擴大時,駭客將擁有更多攻擊手段,進一步提升社交工程的效率。
應對策略與未來展望:
儘管上述預測可能發生也可能不發生,但一個不可否認的事實是,當前科技的發展已使其潛在威脅變得更加嚴峻。我們正處於一個個人防禦能力備受挑戰的時代,新科技雖然為生活帶來便利,但也可能被惡意利用。因此,預見AI在社交工程領域的進步,有助於我們在駭客利用科技之前保持高度警惕。
企業應主動採取措施,持續掌握網路駭客可能運用的最新手法和技巧。建立一套全面的資安策略,並從社交工程中尋找更可靠的防禦資訊和資產,對保護企業至關重要。
資安解決方案:Trend Vision One™
Trend Vision One™ 是一個旨在簡化資安操作的企業級資安平台。它透過整合多種防禦功能、強化企業對攻擊面的掌握,並提供資安風險狀況的全方位可視性,協助企業保護其不斷發展的攻擊面並預防漏洞產生。
對於個人用戶而言,面對日益精密的社交工程與網路詐騙,主動防護也至關重要。現在,您可以使用「AI 防詐達人」這類工具,它利用 AI 技術即時分析可疑訊息、電話或網站內容,自動識別潛在的詐騙風險並發出警示。此外,搭配像 PC-cillin 這樣的全方位資安軟體,可以提供多層次的防護,包括惡意網站攔截、勒索病毒防護、以及智慧型防毒掃描,有效阻擋惡意程式入侵,進一步強化您的網路安全。透過這些工具的協同作用,個人用戶也能有效提升對抗 AI 驅動詐騙的能力,保護個人資訊與財產安全。
◎本文參考:The Future of Social Engineering
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
社群帳號盜用警示 在災害擴大前,搶先一步做好防範
全球個資外洩追蹤 24小時為您監測守護
跨平台密碼安全管理讓 您安心儲存所有網路帳密
