信任，才是最危險的釣餌：社交工程的新趨勢

近年來，企業在防禦社交工程攻擊時面臨最大的挑戰，不再只是防堵惡意連結、仿冒網域或可辨識的可疑附件，而是「熟悉且可信」的內部情境被高度精準模擬，使得信任成為攻擊者最容易取得、卻也最難防禦的資源。根據資通安全署明確指出：駭客在社交工程中的核心策略，就是「扭曲人對組織、流程與熟悉人物的信任」，並利用這份信任進行更深層的滲透。這意味著，攻擊手法不再主打『陌生感』，而是有意製造『熟悉感』。在多數案例中，駭客並不需要突破複雜防線，只要成功誘使員工「主動開門」，攻擊便得以快速展開。

尤其 近兩年 AI 技術更使此趨勢急遽升級。深偽語音、仿冒主管口吻的聊天訊息、生成式 AI 打造的高仿真內部郵件，使攻擊者能輕易打造「100% 看起來合理」的情境。過去，駭客可能要花數天蒐集目標資訊，如今只需以公開資料加上 AI 建模，就能自動產生具備口吻特徵、格式相似度極高的假冒訊息。當攻擊者能用幾小時生成並大量佈署高度擬真的「內部溝通風格」，信任便瞬間從企業防禦的基礎變成最脆弱的破口。

更值得警惕的是，攻擊者不僅仿冒角色，更操控情緒。例如：「幫我快速處理這件事」「請你協助一下」「這是部門緊急任務」「主管說要今天完成」，這些看似日常的互動內容，其實觸及人際合作中最強的行為驅動力：責任感與互惠心理。在許多受害案例中，員工常常不是因為技術看不懂，而是因為「信任對方的人」或「不想拖累別人」，才在無意間造成重大資訊外洩。

從研究看訓練盲點：一次性教育無法長效防禦

釣魚攻擊長期被視為資安領域中最常見、也最持續演化的攻擊向量。然而，防禦上最大的盲點之一，是企業仍普遍依賴「年度一次性的全員訓練」作為主要教育策略。根據 Help Net Security 引述最新研究顯示，單次訓練確實能在短時間內降低員工的點擊率，但效果會在數週後快速下滑；甚至有研究表明，受訓後 2～3 週，員工對真正釣魚郵件的識別能力便開始衰退，6～8 週後幾乎回到訓練前的水準。

這裡反映出一個關鍵現象：員工遭釣魚並非因為「知識不足」，而是因為「情境壓力」與「信任誘因」在真實場景中常常凌駕知識。研究指出，最容易讓員工上當的不是通用型金融詐騙郵件，而是：

• 來自「同事或主管」的協助請求

• 看似「部門內部操作流程」的更新

• 看似正常的檔案分享或內部報表要求

• 與工作時效性強烈相關的任務

• 夾雜人情、合作或責任義務的語氣

換句話說，真正造成員工點擊的不是郵件內容，而是「人際角色」與「情境壓力」。

研究更指出，僅透過一般講課或線上課程，使用者會在短期內記住規則（例如：檢查寄件者、不要開 EXE、避免點陌生連結），但當情境轉為真實，尤其是需要「立即回應」「協助同事」「配合主管指示」時，大腦會優先調動「社會性行為模式」，而非調動「資安警覺模式」。這造成訓練內容雖然清楚，但在情境壓力下無法被真正運用。

因此，研究提出「訓練頻率與時機比內容更重要」的觀點，即：

• 一次性訓練容易遺忘，必須採用連續式訓練

• 訓練需貼近日常工作，而不是抽象講義

• 最好在使用者「犯錯的當下」提供即時回饋

• 模擬攻擊必須包含信任誘因與內部情境

研究顯示，採用「即時模擬釣魚＋當下教育」（just-in-time training）的企業，其員工一年內的錯誤點擊率平均可減少 40–50%，遠高於傳統年度訓練模式。

另一個研究結果也值得注意，員工在收到類似真實工作內容（例如財務報表、內部流程變更、主管要求回報）的模擬釣魚郵件時，點擊率明顯高於陌生主題的釣魚郵件。這再次說明，信任與情境才是主因，而非技術識別能力。

綜合上述研究，我們可看到：

企業若仍依賴傳統的一次性訓練，等同於用靜態教育對抗高度動態的攻擊。訓練不該只是知識補充，而必須成為一種「持續的心理韌性鍛鍊」，讓員工不只是『知道』該怎麼做，而是『在真實情境中能做到』。這正是現代釣魚防禦策略最核心的轉型。

如何在信任誘因中構建防線

面對信任被武器化、且一次性訓練效果有限的現況，企業在落地端必須重新調整策略，真正將「信任」當作一項需治理的資產，而非理所當然的安全基礎。以下從流程、訓練與文化三個面向提供具體可執行的建議：

（一）流程層面：把「信任」轉化為可驗證的步驟

企業經常將內部流程視為“安全區域”，但這反而讓攻擊者更容易複製情境、偽造請求。因此企業需要將多重驗證與異常提示納入日常流程中，而非只用於高風險場景。例如：

• 內部行政或財務請求必須建立二次驗證通道

• 檔案分享、內部公告或報表更新需自動附帶系統驗證資訊

• 允許使用者輕易使用「另外一個管道」確認請求真偽

• 將流程自動化，減少「員工憑直覺判斷」的情況

iThome 報導指出，攻擊者常透過仿冒內部溝通流程、模仿部門主管語氣，使受害者難以分辨真偽。這意味著流程本身必須具有可驗證性，而非依賴使用者的主觀經驗。

（二）訓練層面：採用即時、情境化、循環式訓練模式

從研究可知「訓練頻率與真實性遠比內容重要」。因此企業應採用：

• 定期但輕量的模擬釣魚測試

• 犯錯當下立即跳出微學習單元（just-in-time training）

• 模擬題目需貼近當地部門文化、日常工作流程、信任誘因

• 避免使用明顯的釣魚郵件，而是增加仿真度

這不只是教育，而是在建立「心理肌肉記憶」。

例如：收到來自主管的急件時，大腦會自動提醒「先驗證」；收到同事的檔案分享連結時，會下意識檢查來源是否正常。

這類訓練不是讓員工變得多疑，而是讓「驗證行為」成為“習慣化反射”。

（三）文化層面：建立鼓勵質疑的環境

許多釣魚成功的原因並非使用者辨識能力不足，而是「不敢質疑」。

常見心理阻力包括：

• 怕麻煩同事

• 怕質疑主管不禮貌

• 怕延誤流程

• 怕被認為資安意識不足

因此企業文化必須明確傳達：

• 「疑慮比速度重要」

• 「確認不是不信任，而是保護組織」

• 「所有人都可以報告可疑訊息，不會被責備」

同時提供簡單、低門檻的報告機制，例如一鍵通報或「可疑郵件」收件匣，使員工能快速確認真偽。當員工願意提出疑慮，攻擊者利用熟悉角色作假指令的策略便不再有效。

綜合三個層面，企業才能從根本提升抵禦“信任誘因型”攻擊的能力，並形成「流程可驗證、訓練具連續性、文化鼓勵提問」的防禦體系。唯有如此，信任才能從弱點轉為可控資產。

信任：企業新時代的資安課題

信任並非天然安全，而可能成為社交工程中最有效的突破口。從台灣資安報導到國際研究都顯示：攻擊者不只瞄準設備漏洞，而是瞄準人的信任與流程盲點。若企業依舊採取一次性訓練或單純技術控管，就難以有效防禦這類「以人為餌」的攻擊。唯有將信任納入驗證機制、設計持續且情境貼近的訓練、並營造鼓勵質疑與報告的文化，才可能在信任被濫用的時代，建立起真正長效而具韌性的防線。