隨著 AI 技術越來越進步,詐騙份子的手法也變化得越來越快。近來,一種被稱為「老闆詐騙」的網路釣魚手法,正瞄準剛剛入職的企業新人,結合 AI 蒐集資訊找出組織架構,向被害者騙取數位點數卡後轉賣牟利,同時更由於法律上的漏洞與灰色地帶,導致被害者遭詐後求償無門。
新人第一天上班就被詐騙鎖定
根據外媒報導,一名於私人會員俱樂部顧問公司擔任行政助理的員工 Poppy,入職第一天就遭到不法份子以「老闆詐騙」形式發起釣魚攻擊,損失約 2,000 多英鎊,折合新台幣超過 8 萬元。
Poppy 向媒體表示,由於自己的職位是執行長助理,所以處理上司透過電子郵件發來的任務,本來就是非常自然的事情;當 Poppy 收到執行長要求購買數十張蘋果商店點數卡,想作為禮物分送給客戶時,她並沒有抱持任何懷疑。
緊接著,Poppy 前往倫敦市中心的蘋果商店,現場購買了約 2,000 英鎊的點數卡,但卻直到她準備將卡片轉交給執行長時,上司透露出的疑惑神情,才揭穿了整場騙局。
魚叉式網路釣魚與「老闆詐騙」
專家表示,Poppy 成為了「魚叉式網路釣魚」的受害者,結合被稱為「老闆詐騙」的行為手法,犯罪份子瞄準企業新進員工的弱點,希望藉此騙取點數卡或儲值卡以轉賣牟利。
在「老闆詐騙」模式之中,詐騙者通常會假扮成權威人士,請求被害人給予緊急協助,要求他們購買點數卡或儲值卡,作為對客戶或員工的「獎勵」。
當受害人將卡片或儲值序號轉交給詐騙者之後,不法份子就會於暗網上,以折扣價格出售卡片,方便後續提領現金。
英國金士頓大學犯罪學家 Elisabeth Carter 分析,企業新進員工通常不會質疑老闆的決定,因為他們並不想要讓別人覺得,自己正在故意惹是生非。
換句話說,「老闆詐騙」利用了企業新人初入職場後,心理上擁有的不安全感,使得他們無論任務內容為何,只要是被高層要求完成,新人就會脫口而出「好的,我來處理!」,從而令詐騙份子順利得手。
透過 AI 蒐集資料再發動攻擊
不過,更加關鍵的問題在於,詐騙份子怎麼有辦法精確瞄準 Poppy 入職的第一天,就針對性的發動網路釣魚攻擊呢?
網路安全公司 Cypfer 執行主席 Jason Hogg 分析,詐騙份子應該是透過連結分析(Link Analysis)技術,先從受害者的社群平台抓取資料,推論企業內部的組織架構,並繪製出受害者的人際關係圖譜後,再以社交工程手法進行攻擊。
Jason Hogg 說,不法份子會特別鎖定網路上,使用者主動發表的社群媒體文章或職缺更新貼文,掌握他們接下來的動向,再進一步執行魚叉式網路釣魚,而 Poppy 確實也在入職當周於 LinkedIn 上貼出了相關資訊。
Jason Hogg 進一步解釋,隨著 AI 與大型語言模型普及,詐騙者將能夠模仿人類行為,大量查閱網路使用者的個人檔案與人際連結,接著於幕後分析、操作這些聯繫關係,從而繪製出被害者的社交圖譜。
一旦詐騙者掌握了企業的內部組織架構,配合被害者本人的社交圖譜,不法份子就會開始利用這些聯繫,以權力結構本身「上對下」的自然漏洞施行詐騙。
合法點數卡交易,陷法律灰色地帶
另一方面,打擊此類詐騙行為最大的挑戰,在於不法份子所要求的目標,通常是點數卡、儲值卡或禮券,而非傳統的現金;同時受害者「親自」為點數卡付款的事實,讓整個情況於現行的消費者保護法規下,變得更加複雜與難解。
簡而言之,由於購買點數卡的消費行為,其實是受害者本人親自完成,所以這筆交易本身合法,而且從店家的角度來看,交易過程也沒有任何問題,受害者後續要把點數卡交給誰、如何使用,店家既沒有任何責任,亦無法做出決定。
英國詐騙協助熱線資深律師 Peter Joyce 直言,受害者通常不能以「遭到詐騙」為理由,回頭要求店家為已經合法完成的交易執行退款,當然店家也沒有義務接受消費者的要求,進一步使得透過點數卡發生的詐騙行為,陷入法律上的灰色地帶。
對於剛剛入職的 Poppy 來說,她慘遭「老闆詐騙」的悲慘故事,最終仍有一個幸運的結局。英國蘋果商店由於見到 Poppy 因為此事過度心煩意亂,出於善意決定為點數卡進行全額退款。
蘋果公司向媒體表示,旗下員工其實都接受過識別潛在詐騙受害者的相關培訓,如果懷疑顧客成為了受害者,店內員工將會禮貌性地拒絕販售商品。
預防勝於補救,二次確認很重要
網路安全公司 Cypfer 執行主席 Jason Hogg 提醒,面對「老闆詐騙」與魚叉式網路釣魚攻擊,事前預防始終勝於事後補救,企業領導者與員工可以透過多種方式,積極保護自己免受詐騙。
舉例來說,如果員工覺得自己成為了不法份子的詐騙目標,那就應該使用更多管道,核實企業高層交派的任務請求,例如對方若是透過電話聯繫,那員工就該主動發送電子郵件二次確認,甚至是直接找本人詢問。
英國金士頓大學犯罪學家 Elisabeth Carter 則表示,企業可以從一開始就制定明確的指導方針,從而預防此類詐騙,比方說在招募文件中表明,公司絕對不會直接要求員工,替企業轉帳或購買任何東西,釐清責任歸屬以防止詐騙。
【推薦閱讀】
◆ 【AI 正在教詐騙犯怎麼行騙】最新研究揭釣魚郵件成功率激增,三大應對策略一次看
◆ 「電話費未繳」簡訊是假的!新詐騙 Magic Mouse 每月盜走 65 萬張信用卡
◆ AI 假證件詐騙瘋飆 195%,駭客偽造身份連銀行 KYC 都可能失效
*本文開放合作夥伴轉載,參考資料:《FT》、《Conflict International》,首圖來源:Unsplash
(責任編輯:鄒家彥)
