【Podcast 留友聽】真實詐騙故事揭駭客內幕

最危險的駭客，連一行程式碼都不用寫

‍

想像一下這個場景，你的手機響了，來電顯示是老闆的名字。對方用熟悉的聲音說:

‍

「抱歉打擾你，我現在人在國外，護照出了點問題，你能幫我唸一下護照號碼嗎？很急。」

‍

你會怎麼做？

‍

《Darknet Diaries》是一檔介紹「來自網路黑暗面的故事」的 Podcast 節目，由資深網路安全研究者 Jack Rhysider 主持。自 2017 年開播以來，這個節目以生動的敘事風格，結合原創訪談與調查報導，帶聽眾深入科技背後的隱藏危機與人性面貌。

‍

Jack 在這集的Podcast 邀請了白帽駭客 Rachel Tobac 來分享親身經歷，揭露三個最可怕的社交工程攻擊手法：電話號碼偽造、幽靈應徵者攻擊，以及最新的 AI 仿音詐騙。而這些手法，正在你我的生活中悄然發生。

誰是 Rachel Tobac？

‍

在進入 Rachel 的故事之前，我們先釐清一個概念：什麼是「白帽駭客」?

與電影中那些為了竊取機密、破壞系統的「駭客」不同，白帽駭客是站在企業這一方的資安專家。他們的工作是「合法地攻擊」用駭客的思維和手法，幫助企業找出系統漏洞、測試防禦機制，在真正的壞人下手之前，先把破綻補起來。

‍

他們用壞人的方法，做好人的事。

‍

Rachel Tobac 不是你想像中那種坐在黑暗房間裡敲打鍵盤的駭客。事實上，她甚至不是電腦科學(Computer Science) 背景出身。 她的專業是神經科學和行為心理學，這讓她擁有了比任何技術專家更強大的武器：對人性的洞察。她創立了 SocialProof Security 公司，專門為 Facebook、Google、Twitter、Uber 等頂尖企業進行社會工程滲透測，幫助他們找出「人」這個最大的安全漏洞。

‍

經典案例一：銀行帳戶的電話騙局

有一天，一家銀行找上 Rachel，給了她一個看似不可能的任務：請她嘗試駭入幾個虛擬客戶帳戶，以測試他們的客戶服務部門是否夠安全。Rachel 的任務是想辦法取得帳戶的完整存取權，形同「竊取」帳戶中的金錢。

‍

Rachel 首先嘗試透過線上聊天功能進行攻擊，但銀行的多重要素驗證(MFA)機制非常嚴謹，讓她碰了壁。於是她改變策略，開始撥打電話。為什麼是電話？因為電話更容易建立「信任感」(rapport)，而且不像文字訊息會留下完整的書面記錄。更重要的是,她發現了一個致命漏洞：電話號碼偽造(Caller ID Spoofing)。

‍

Rachel 使用了一個簡單的手機應用程式，將她的來電顯示改成目標客戶的電話號碼。當銀行客服接到電話時，螢幕上顯示的是客戶本人的號碼，這立刻建立了初步的信任。

接著，她扮演一位焦急的客戶:「我人在國外，急需登入帳戶處理事情，但我的手機壞了，無法收到驗證碼！」

‍

為了讓角色更逼真，Rachel 的技術團隊還準備了偽造的身份證明文件，駕照、社會安全號碼卡、水電費帳單的 JPEG 檔案。這些文件看起來真實無比，因為它們確實是根據真實格式製作的。 結果呢？不到一小時，Rachel 就獲得了帳戶的完整管理權限。

‍

這個案例揭露了一個殘酷的事實：即使是銀行這種高度重視安全的機構，也可能因為「來電顯示」和「焦急客戶」的組合而放棄既定的安全機制。客服人員的同情心和「幫助客戶」的職責，反而成為駭客最好的突破口。

‍

永遠不要相信來電顯示。任何涉及帳戶存取、密碼重置、或敏感資訊的電話，都應該掛斷後主動撥打官方電話進行二次確認。

經典案例二：用「暗示性」提問套取併購機密 (幽靈應徵者攻擊)

另一家科技公司找上 Rachel，想調查為何併購計畫（M&A）總在對外公布前洩漏，而   Rachel 決定採用最高難度的攻擊手法：「幽靈應徵者」(Ghost Applicant)，假扮成求職者，滲透進公司的面試流程，從內部套取機密。她花了整整三週準備，研究產品經理(PM)的職責，學習相關的專業術語，甚至建立了一整套虛假的線上身份：LinkedIn 個人檔案、Twitter (X) 帳號、過往的工作經歷，全都看起來真實可信。她投遞履歷，通過了初步篩選，進入正式面試。

‍

在面試的最後提問環節，Rachel 沒有直接問「你們是不是要併購 XYZ 公司?」相反，她用「暗示性問句」:

‍

「如果未來真的有合併，我的職位會受影響嗎？」

‍

結果六位面試官中，有三位透過眼神、語氣或含糊的回應，雖然甚麼都沒說，但已經洩露了足以推論出併購計畫的關鍵訊息。最糟的是，這些人並不覺得自己「洩密」，因為公司只教他們「不要直接說出名字」，卻沒提醒他們：暗示、表情與語氣，也可能出賣資訊。

‍

機密不只是「說出來的話」，還包括你的肢體語言、反應方式，以及你選擇迴避的問題。更重要的是，LinkedIn 這類專業社交平台，對駭客來說根本就是一座「金礦」——他們可以輕鬆找到目標、猜測電子郵件格式、了解公司組織架構。

‍

最新威脅：AI 語音複製詐騙，一秒瓦解信任

如果說前兩個案例已經夠可怕，那麼 AI 技術的加入，則讓社交工程攻擊正式進入全新的恐怖境界。

2023 年，Rachel 接受《60 Minutes》的邀請，進行一場「現場駭入」示範。

‍
目標是節目製作人 Elizabeth，她知道自己會遭攻擊，但完全不知道「何時」、「怎麼來」。

Rachel 的攻擊流程幾乎簡單得令人不安：

1. 從 YouTube 抓取目標聲音：她下載了主持人 Sharyn Alfonsi 的電視片段，僅需幾分鐘的語音素材即可。
2. 使用 AI 工具複製聲音：將語音輸入 AI 語音複製工具，生成可以說任何話的「數位分身」
3. 偽造來電顯示：用 Spoofing 工具讓電話顯示為 Sharyn 的號碼
4. 發動攻擊：AI 聲音說：「Elizabeth 抱歉，我需要我的護照號碼，因為烏克蘭行程已經開始了，你能唸給我聽嗎？」

Elizabeth 後來承認，她確實覺得聲音有點怪，但面對正確的來電顯示和「老闆」的緊急要求，她還是唸出了護照號碼， 整個攻擊過程只花了五分鐘。

‍

「這個攻擊每次出擊都會一擊必中」

‍

這種攻擊手法叫做「社交工程」(Social Engineering)——它不攻擊系統,而是攻擊「人」。因為在所有的資安防禦中，最脆弱的永遠不是技術，而是我們的信任、同情心，以及在緊急時刻想要幫助他人的本能。

‍

更可怕的案例還在後頭。香港曾發生一起 Deepfake 視訊會議詐騙案，駭客使用 AI 技術偽造了公司高層的影像和聲音，在視訊會議中說服財務人員匯款，最終詐騙金額高達 2500 萬美元。

我們正在進入一個「信任崩解」的時代。 當你無法再相信眼睛看到的、耳朵聽到的，那麼我們該如何驗證真實性？

‍

Rachel 認為，來我們可能需要某種「加密簽名系統」，就像數位憑證一樣，讓每個人的聲音和影像都能被驗證。但在那一天到來之前，我們只能依靠「人類多重驗證」(Human MFA)——永遠用第二種管道確認身份。

‍

當心，你就是駭客的目標

‍

讀到這裡，你可能會想:「這些案例太極端了，不會發生在我身上。」

但事實是：今天 95% 的駭客攻擊都始於社交工程手法，一通電話、一封釣魚郵件、一則簡訊。而 AI 技術讓這些攻擊變得更逼真、更個人化、更難以察覺。

‍

你可以做的三件事:

1. 不要相信來電顯示
   任何涉及敏感資訊的電話，永遠掛斷後主動撥打官方號碼進行二次確認。寧可掛斷真人，也不要被騙。
2. 建立「人類多重驗證」機制
   當你收到「緊急」或「高層」的要求時，使用第二種管道確認——傳訊息、視訊通話、或直接面對面。甚至可以和家人設定「驗證密語」，在緊急情況下用來確認身份。
3. 保持「禮貌的多疑」(Politely Paranoid)
   Rachel 的公司口號就是這句話。不是要你不信任任何人，而是在涉及金錢、帳號、個資時，多問一句、多確認一次。這不是失禮，而是保護自己和他人的權利。

打詐，從認識詐騙開始

‍

社交工程攻擊不只發生在國外，也有可能在你我的日常生活中出沒，假冒公務員、假冒投資專家、假冒親友求助，這些都是社交工程的變體。

‍

為了幫助大家建立「打詐防線」，我們的三檔節目都製作了專門的打詐主題集數：

‍

《業問》:  

‍

節目邀請銘傳大學林書立教授，探討「詐騙比你想的還專業」的現況。教授揭露詐騙集團採企業化經營，有嚴謹「KPI」、「劇本」與跨國分工，甚至連金融業、電信業都容易淪陷。內容涵蓋全球產業鏈、KK園區模式、以及交友、投資、社交工程的套路深度。節目警示民眾應注意「太多的好事同時發生」就是陷阱，若遇可疑情況，應立即撥打 165反詐騙專線，避免付出一生代價。

‍

‍

《心理不用學》：

‍

節目邀請橫跨警界與學界的林書立教授,深入剖析詐騙集團如何從早期的奈及利亞「419 方案」進化到現在的 AI 輔助社交工程。節目揭露了一個驚人事實:詐騙集團已成為全球第三大經濟體,而且不只長輩會受騙——他們正利用每個人的心理弱點進行攻擊。這集節目就像一劑「反詐騙疫苗」,教你如何識破假政府簡訊、不明網站,並在懷疑時立即撥打 165 反詐騙專線。

‍

‍

《故事貿易公司》：

‍

‍節目聚焦於近年來猖獗且越趨常見的交友投資詐騙。內容深入剖析詐騙集團如何從建立情誼開始，到逐步引誘投資的整個過程。節目核心是討論詐騙集團如何精準地抓緊人心的脆弱面，利用人們對「情誼」的需求和想像來行騙。

‍

‍
主持人與來賓亦分享了建立防詐意識的方法：透過對自身的足夠理解，直視自己的脆弱，便能避免脆弱成為他人利用的工具。節目特別警示，政府不會發簡訊要求點選連結領取 全民發放現金一萬元。民眾若遇到可疑情況，應立即撥打 165反詐騙專線。

‍

這些節目不只是「知識分享」，更是我們與聽眾一起建立的全民打詐防線，歡迎收聽，並分享給你關心的人。

‍

資料來源：

Rhysider, Jack, producer. "She Can Hack Your Bank Account With the Power of Her Voice🎙Darknet Diaries Ep. 144: Rachel." Darknet Diaries, episode 144, contributions by Rachel Tobac and Dan Meiser. YouTube, uploaded by Jack Rhysider. Video Transcript Excerpt.