心理學與人工智能：社交工程詐騙的演變與挑戰

商業

Jun 30 2025

在數碼化時代，社交工程攻擊已成為網路詐騙中最常見且具挑戰性的形式。不同於依賴技術漏洞的傳統駭客手法，社交工程（Social Engineering）攻擊以「人」為核心目標，透過操縱心理弱點，繞過技術防線，誘使受害者在毫無察覺中洩露敏感資料或執行不當操作。隨著人工智能（AI）的快速發展，這類攻擊變得更加精密與高效，對我們構成了前所未有的威脅。

AI如何改變社交工程攻擊

AI 的引入令傳統的社交工程攻擊更加精密且難以辨識，進一步提升了攻擊的複雜性與效率：

高度個性化的騙局
AI能快速分析社交媒體上的公開資訊，如職業、專業技能和商業聯繫，從而設計高度針對性的攻擊場景，例如AI 令商務電子郵件攻擊變得更加高效且具威脅性。根據美國聯邦調查局的數據，商務電子郵件詐騙在 2022 至 2024 年間累計造成接近 85 億美元的經濟損失，反映此類詐騙對商業環境的嚴峻威脅。
深偽音頻與影片的應用
AI生成的深偽技術（Deepfake）能模仿聲音或製作逼真的影片。例如，一家英國工程顧問公司曾被騙子利用AI模仿其CEO的聲音，向財務部門下達「緊急匯款」指令，最終造成2,500萬美元的損失。
大規模自動化攻擊
AI的自動化能力讓攻擊者能在短時間內生成數萬封個性化釣魚郵件，突破傳統釣魚攻擊的規模限制。香港網絡安全事故協調中心報告顯示，2025年首季「網絡釣魚」攻擊按年激長67%，相關惡意連結也按年增長超過兩成，顯示AI正加劇社交工程攻擊的威脅。

為何社交工程攻擊屢屢得手？

社交工程的成功在於其精準利用人類心理弱點，而非技術漏洞。攻擊者運用「互惠心理」讓我們產生要回報對方的「恩惠」；透過「權威效應」假冒政府、銀行或上司身份來贏得信任；利用「稀缺性」製造「限時優惠」或「緊急狀況」來迫使我們快速決策；以及透過「社會認同」與「喜好效應」降低我們的防備心理，讓人不自覺地落入圈套。

如何防範AI驅動的社交工程攻擊？

面對AI驅動的攻擊，我們需要結合技術與策略建構多層防禦。首先，建立標準化的驗證流程，核對訊息來源是否真實，避免在緊急情況下草率行動。同時，我們也應謹慎管理自身的數碼足跡，減少在公開平台分享敏感資料，以降低被攻擊者利用的可能性。

在技術層面，啟用多重要素驗證（ Multi-Factor Authentication ）是建立安全防線的基礎，能有效阻止未經授權的登入。同時，善用AI驅動的威脅檢測工具，主動識別釣魚訊息、深偽內容及異常行為，不僅能快速應對已知威脅，還能通過行為分析發現潛在攻擊。此外，定期進行安全意識培訓和模擬攻擊演練，有助於提升我們對新型攻擊模式的警覺性，並培養快速應變的能力。