網路社交工程攻擊升級，企業資安意識強化需擴及所有通訊管道

近年來，駭客的網路社交工程戰術出現顯著轉變，尤其是今年上半，涉及語音網釣（Vishing）與AI語音偽冒的攻擊大幅增加，網路釣魚的媒介已不再局限於傳統的電子郵件。

長期以來，企業在社交工程演練聚焦電子郵件場景，直到最近幾年，有些企業強調本身須建立資安文化：不只是開發與IT維運人員要重視資安、了解資安，更要讓公司每個人都要具備資安意識，能有效辨識潛在威脅並懂得通報。

畢竟，現在的資安防護不僅要識別各種威脅的型態與運作原理，更要懂得舉一反三。例如，企業持續訓練與要求員工勿隨意開啟陌生者寄來的郵件，隨著零信任概念的普及，預設不信任並要持續驗證，現在對於來自熟悉往來對象的電子郵件，也會被公司要求留意內容是否異常，然而，透過傳統或網路系統的語音來電，卻可能成為另一個「看不見」的破口，因為對方來電可透過人工或AI偽冒，員工則因為不瞭解這類攻擊態勢日益猖獗，而輕信對方。尤其企業財務、會計人員，以前就是社交工程攻擊的重點目標，現在更擴及更多職務。

在這次封面故事的內容探討中，我們可以看出，現在駭客針對企業的社交工程攻擊管道更廣泛，遍及簡訊、即時通訊、視訊會議，再加上釣魚郵件與釣魚網站的混合使用，甚至結合Deepfake技術，讓人誤以為眼見為實、耳聽為真，使得社交工程詐騙變得更難防禦。

不過，雖然人人都能關注這些語音網釣與偽冒事件，但還是有些細節不易掌握，因此，我們找來趨勢科技的資安專家共同商討這項議題。

語音網釣不單因為AI仿聲而真假難辨，單是多變話術就讓人防不勝防

今年山形鐵道公司遭遇自動語音詐騙，這起事件的社交工程手法相當複雜，結合了自動語音來電與轉接真人客服，再到寄送釣魚郵件，誘使企業會計人員輸入敏感資料至釣魚網站，甚至還會再度來電騙取帳戶驗證所需操作。

但我們好奇的是，上述的語音網釣攻擊使用AI深偽技術嗎？像是企業採用的自動語音應答系統IVR，可外撥預先錄製的語音訊息，以及轉接的真人客服。

趨勢科技研究開發部資深經理黃彥穎表示，他們在日本的同事持續追蹤這起事件，但實際情況更嚴重，因為不只山形縣的企業受害，日本其他地區已經發生，只是一般受害者沒公開這些事情。

這也是此類詐騙難以揭露的原因，如果無人講述本身的受騙過程，其他人無從得知被騙的情況，雖然日本警方在2024年底就開始示警，顯示已接獲這類詐騙情形的報案，但往往受害者浮上檯面，才受到外界更多矚目。

至於攻擊者是否使用AI偽冒技術？黃彥穎提出看法，他表示，以此案例而言，AI可能只是用來模仿公司的自動語音訊息，是否聽起來像真人其實無所謂，至於冒充真人銀行客服是否使用AI，他認為，並沒有被用AI來模仿特定人物的聲音，頂多變聲以掩飾身分。

純靠聲音的電話會議是企業遠距溝通常態，有更多不易辨認真偽之處

近年有些攻擊事件涉及AI深度學習偽造（Deepfake）的視訊會議，例如，去年香港警方與今年新加坡警方揭露相關案件，但這類資安事故遭偽冒的部分只有語音？還是同時涵蓋語音及影像？

由於許多事件，攻擊者僅是偽冒聲音撥打電話即可得逞，但從當地警方與媒體的揭露，雖然都提到參加視訊會議，有Deepfake模仿高層，可能預設聲音影像都會偽冒，但往往沒有更明確說明。

對此，黃彥穎表示，視訊會議一詞的確容易讓大家搞混，事實上許多企業召開的視訊會議，都是以語音溝通為主。雖然趨勢科技未參與上述兩起事件的調查，但根據他們的經驗判斷，此類偽冒事件發生在電話視訊會議的機率算高。

換言之，有些企業溝通的情境是電話視訊會議，而且彼此的攝影鏡頭是關閉的，與會者只看到會議成員的名稱與圖像，或可能只有會議前開啟鏡頭打聲招呼就關閉，若是如此，當下攻擊者就需搭配AI影像偽冒。因此，這還是要受害者能將相關狀況說得清楚才行。

對於執法單位而言，我們期盼警方在偵辦這類案件時，在報案單上，最好能增添明確的欄位，以便藉此登記通訊的媒介，請當事者推測聲音是否可能遭模仿的跡象，以及影像是否可能遭模仿等細節，才能讓大家對於攻擊樣態的掌握更為精準。這些初期呈現的資訊很重要，因為企業遭遇相關攻擊事件，第一個動作都是先報案。此外，在來電號碼方面，是否完全偽冒顯示一樣，或是偽冒相近，或是沒有偽冒只是受害者誤以為用別人電話打，我們認為這也是需明確記載的細節。

人與人之間的信任建立不夠嚴謹，須搭配更多條件驗證彼此的真實性

網路上曾有一段比喻，大家看到拿梯子的人，很容易自動就信任他是這裡請來的施工人員，並主動提供相關協助。

隨著詐騙手法不斷演進，黃彥穎表示，當他們討論詐騙流程時，都會提到一個階段「建立信任」，顧名思義，攻擊者會透過這個過程建立信任。

例如，過去駭客常用的社交工程伎倆，是假冒IT技術支援人員，謊稱受害者的電腦中毒、存在資安漏洞或帳戶異常，藉此營造焦慮與壓力，來電提供協助以騙取信任，以達成其惡意目的。

然而，詐騙手法總是不斷變化，像是使用類似邏輯、套用至不同場景，或是以其他角色採用不同話術。這不單是技術問題，往往是如何操縱目標，讓受害者相信某件事，進而願意去執行。

黃彥穎指出，在社交工程攻擊中，人性是一個重要因素，因為這些詐騙者可能每天都在思考「如何改變手法來取得信任」。所以，對於防守方而言，我們需及時了解有哪些媒介，可能成為這些詐騙的第一個接觸點，然後要設法提供相關的防禦。

持續留意語音威脅事故，目前仍以名人遭駭與影片詐騙觀眾為大宗

去年初臺灣新聞媒體曾報導，藝人王仁甫揭露，他的女兒疑似接到假借市場調查的電話，收集了她的聲紋，隨後，王仁甫的妻子季芹接到偽冒其女兒聲音的詐騙電話。這個案例與早年的綁架詐騙類似，只是疑似使用AI仿聲。

黃彥穎表示，國內複製個人聲音來行騙的案例目前較少且零星，如果攻擊活動變得活躍，他們就會持續追蹤。他認為，這還是要從攻擊者角度來設想，名人與知名人物仍是焦點，有錢可以騙、有人脈可以利用，而且聲音影像在網路上容易取得與複製，

現階段，攻擊者仍是較常散布影片進行廣泛的詐騙，受眾較多，如果模仿特定聲音，目標就只有認識這個聲音的人。國內目前相關案例仍不多，卻值得警惕，許多專家強調建立「通關密語」，需持續關注攻擊與詐騙規模擴大情形。

總體而言，大家對於社交工程攻擊趨於複雜的態勢，必須要有所了解，不只注意釣魚郵件，也要知道語音網釣、AI深偽，已有越來越多實際事件發生。

 強化社交工程詐騙防護的兩大新路線 

現在社交工程攻擊，變得更複雜與難以防範，不僅有AI技術的強力加持，還有多變的詐騙情境，都讓受害者防不勝防。

我們看到資安業者與科技業者，持續設法採取更多行動來因應。例如，早期有社交工程郵件演練服務，目的是促進員工對網釣郵件的警覺性與應變能力，後來有商業電子郵件（BEC）詐騙，不少郵件安全業者積極投入，發展相關偵測機制。

前幾年深偽（Deepfake）威脅快速崛起，我們看到這方面的偵測機制出爐，例如，去年美國黑帽大會，趨勢科技率先公布推出Deepfake影像偵測的技術，之後將這項功能融入其消費端與企業端產品，後續有不同業者揭露偵測Deepfake影像的解決方案。

換言之，隨著AI深偽技術出現，在資安產品領域，也開始有新的防護解決方案。

在2025年，我們注意到兩個重要發展趨勢出現。

（一）資安廠商的防詐騙技術越來越重視語音的部分，例如，在我們採訪趨勢科技時，他們透露最近新提供Deepfake語音偵測能力，這是一項新的突破。

（二）我們也首次看到有業者提出：「從設計開始就抵禦詐欺」（Fraud-resistant by Design）的概念。微軟在2025年4月發布Cyber Signals第9期報告，其內容是聚焦AI增強網路詐騙而來，當中有一部分內容，就是提到此點。

微軟表示，基於去年提出的安全未來倡議（SFI）計畫，現在微軟已經開始採取「從設計就抵禦詐欺」（Fraud-resistant by Design）的策略，以更主動方式，因應攻擊者使用AI增強網路詐騙的風險，並且從2025年1月起，推出一項新的反詐騙政策，要求微軟產品團隊在其設計過程中，需要執行詐欺預防評估並實施控制措施。

換言之，在產品安全領域，隨著社交工程詐騙氾濫，也開始有新的資安思維出現，要從產品設計開始就考量抵禦詐欺。