从恶作剧到AI诈骗，你踩过几个陷阱？

　　提到「资安」，你脑中会浮现什么画面？萤幕上满满的程式码？黑帽骇客？还是那封「包裹未投递」的简讯？近三十年来，骇客已不只靠技术侵犯，更像以品牌经营的方式诈骗：从包装讯息、模仿语气到拉近距离博取信任，让人明明有点怀疑，却还是心甘情愿点开连结、输入密码，甚至主动转帐。本期「资安网」简介诈骗技法的演进，并分享基本的自保措施。

---

早期：只是宅男恶作剧？（1990年代）

　　1980～1990年代网路刚开始兴起，骇客多半是技术宅。他们破解程式、乱入系统，大多只是想炫技或恶作剧，例如：骇进学校电脑窜改成绩、在网页放上奇怪的图片。直至「Melissa」病毒出现，在全球掀起骚动。

　　「Melissa」病毒像是普通的Word档案，透过Email传播，收件者一旦打开档案，电脑会自动转寄给通讯录里的前50位联络人。虽然病毒不会毁坏个人的档案，但大量传播的方式会瘫痪企业的邮件系统，造成全球损失高达USD 8,000万。虽然创作者只是想开个玩笑，却也让大家意识到：一封看似无害的信，也可能成为大规模攻击的开端。

 

进化一：从病毒到钓鱼诈骗（2000年代）

　　随着网路普及，骇客开始从散播电脑病毒转向对人下手，「钓鱼诈骗」的新招数快速窜红。时值网路购物兴起，民众还在学习如何登入网银、使用信用卡线上付款，骇客却已经开始模仿来自PayPal或eBay的假通知。此类诈骗讯息几可乱真，容易令人上当，导致大规模个资外洩与帐户盗用现象。尽管手法不新，至今仍是最有效的诈骗方式之一。

 

进化二：勒索病毒时代（2010年代）

　　接下来几年，骇客又升级了。2017年，一款叫「WannaCry」的勒索病毒席捲全球。它会自动入侵Windows电脑，锁住所有档案，要求使用者支付比特币以解锁。英国的医院因此无法运作、俄罗斯地铁系统停摆，台湾中油也曾被感染。此类攻击造成全球数十亿美元的损失，也让「企业资安」受到正视。有别于钓鱼诈骗是针对个人，勒索病毒是骇客大规模对企业与政府发动攻势，且结合加密技术与匿名货币，警方因此更难追查。

 

进化三：供应链成为新破口（2020年代）

　　骇客随后发现企业主的系统防护愈来愈强，供应链上的厂商于是成为相对容易攻破的目标。2023年台积电的一家IT服务供应商Kinmax遭到攻击，不仅导致资料外洩，更被骇客公开勒索USD 7,000万。虽然此事件未对公司业务运作或客户资料造成影响，但突显了一个趋势：资安攻击的对象不再针对单一公司，而是整个生态圈。只要一个环节出错，整条供应链都可能遭殃，此即当前众多企业要求合作伙伴也必须达到一定资安标准之原因。

 

进化四：社交工程与假身分诈骗

　　近年许多诈骗手法越发逼真，例如：FB官方发信通知用户违反规定，并提供申诉连结。网站的Logo、排版看似与官方如出一辙，甚至包括客服聊天室，但使用者一输入帐号、密码，资料立刻被骇客盗走。此类社交工程攻击未必靠技术，而是凭藉人的信任与习惯行诈，让对方心甘情愿地交出资料。随着AI技术进步，骇客不仅能造假网站，连人也能伪造。

 

进化五：AI诈骗登场（现在进行式）

　　2023年，香港一家公司收到总公司财务长的视讯来电，要求紧急匯款。事后查证，该场视讯会议完全是AI合成，财务长从声音到影像都是模拟出来的虚拟假人。但当时对方的声音、长相都跟真人一模一样，还能即时互动，这就是现在正快速发展中的深伪（deepfake）诈骗。不只是影片换脸，还能即时制作出仿真人的对话，让人防不胜防。想像一下，未来你接到孩子打来的电话或主管的语音留言，都可能是假的。这已不再是电影桥段，而是正在发生的现实。

 

不要恐慌，但要开始理解

　　网路犯罪近30年的进化，宛如骇客与防御者之间的拉锯战。骇客会升级，我们身为防御者也需要跟上，不一定要成为资安专家，但培养资安意识是现代人必备的自我保护能力，须建立以下观念：

• 对于太优惠的讯息保持怀疑。
• 收到要求提供个资或匯款的指示，一律多方查证。
• 使用双重验证、定期更新密码。
• 遇到不确定的连结或讯息，先停一下、查一下。

 

　　现在骇客的手法越来越高明，他们的机会来自于民众的一时大意。因此，多一点警觉、多一点确认，就能少一次懊恼。让资安成为日常生活中的一种习惯，就像每天出门前检查门窗一样，而不是出事才想起做补救措施。

 

*图片来源：Freepik

#