快速摘要
AI 讓釣魚郵件更逼真、語音詐騙更難辨識、社群假帳號更像真人。2026 年的社交工程攻擊已經不是粗糙的「王子來信」——它們是精心定制的、多管道的、持續性的。
社交工程的 AI 進化
傳統社交工程攻擊的弱點是「規模 vs 品質」——大量發送的釣魚信通常很粗糙,精心製作的針對性攻擊則無法大量複製。AI 打破了這個限制:
- AI 可以根據目標的社群媒體資訊,自動生成個人化的釣魚訊息
- AI 可以用目標的語言習慣和文化背景來調整用語
- AI 可以同時與數百個目標進行自然的對話
- AI 可以生成逼真的假身份(照片、語音、影片)
AI 增強的攻擊手法
1. AI 釣魚郵件
AI 分析目標公司的官網和員工社群媒體,生成完全符合公司內部溝通風格的假郵件。甚至可以模仿特定同事的寫作習慣。
2. Deepfake 視訊詐騙
模擬 CEO 或主管的臉和聲音進行視訊會議,指示員工匯款或提供敏感資料。
3. AI 語音釣魚(Vishing)
用克隆的聲音打電話,冒充客戶、合作夥伴或銀行。語音品質已接近真人。
4. 社群假帳號
AI 生成的假帳號擁有完整的個人資料、發文歷史和社交關係,難以辨識。
如何識別
- 急迫感:「馬上處理」「今天之內」——製造時間壓力是社交工程的核心手法
- 異常請求:要求繞過正常流程、不要告訴其他人
- 管道不符:平常用 email 溝通的人突然用 LINE 聯繫
- 語感微妙差異:雖然 AI 可以模仿風格,但仔細看仍有不自然處
- 要求敏感操作:匯款、提供密碼、下載附件
防範策略
- 多重驗證:重要決策透過不同管道確認(收到 email 指示匯款,用電話回撥確認)
- 代碼確認:與同事約定一個確認暗號
- 安全意識訓練:定期進行社交工程模擬測試
- 技術防護:Email 過濾、Domain 驗證(DMARC/DKIM)
- 文化建設:鼓勵員工對可疑請求提出質疑,不懲罰謹慎行為
常見問題
AI 社交工程攻擊真的很常見嗎?
越來越常見。2025-2026 年的報告顯示,使用 AI 增強的釣魚攻擊成功率比傳統方式高出 30-50%,且難以被傳統郵件過濾器攔截。
普通人也會被 AI 社交工程攻擊嗎?
會。AI 語音詐騙已經被用於冒充家人要求匯款。一個簡單的防禦方法:與家人約定一個只有彼此知道的確認暗語。
企業應該多常進行社交工程測試?
建議每季度一次,測試不同的攻擊向量(email、電話、訊息)。重要的不是懲罰中招的員工,而是藉此提升全體意識。