恐懼只係前菜
上回我哋講咗攻擊者點樣利用「恐懼」、「時間壓力」同「稀缺感」呢啲基礎生存本能,去觸發Amygdala Hijack(杏仁核劫持),令你嘅理性思維暫時 offline。如果對方再識玩啲,唔單止會嚇你,仲有其他方法令你乖乖聽話。歡迎嚟到第二層:社會本能(Social Instincts)。
攻擊嘅你「社交腦」:Belongingness(歸屬需求)+ Esteem(尊重需求)
根據 Maslow 需求層次理論,當人滿足咗「安全需求」,就會追求被接納、被尊重、群體歸屬感,呢個就係我哋嘅「社交腦」。人天生傾向相信權威、融入群體、回報善意。呢啲特質令文明得以建立,但同時亦預留咗一堆可以被利用嘅心理「預設值」。
作家George MacDonald 講過:To be trusted is a greater compliment than to be loved,信任本身就係一種好強嘅「獎賞」。神經經濟學家 Paul Zak 發現,當人收到「信任」訊號時,大腦入面嘅Oxytocin(催產素)水平會上升,令你更願意合作、放低戒心。換言之,我哋個腦本身係「想」去信人,因為信任會帶嚟愉悅感同連結感。攻擊者就係利用呢種天性,將信任變成武器。
信任武器庫:權威偏差 (Authority Bias)
點解權威咁有效?人類社會係圍繞權威建立,心理學叫 Authority Bias(權威偏差):人會不自覺地對權威嘅指令傾向服從。呢個唔係智商問題,而係服從權威可以節省你做判斷嘅認知資源。遠古時代,聽從部落首領通常係最安全同最快嘅選擇。「服從權威」亦寫入咗我哋嘅本能。但網絡世界,權威係可以偽造嘅,而且殺人於無形。
Business Email Compromise(BEC,商業電郵詐騙)係一種針對企業嘅社交工程攻擊。他們會偽冒(或者盜取)企業帳號,發出看似合理但實際係有惡意嘅請求,進行攻擊,再加上 Deepfake,權威嘅說服力進一步升級。
2024年初,香港一間跨國公司嘅財務職員收到一個睇落正常嘅 video call 邀請。職員一開始有懷疑,但入到會議,畫面上有CFO同幾位高層,全部對到聲、對到樣。CFO要求就機密交易分多次轉帳,見到「熟口熟面」嘅管理層喺齊度,傾向相信要求屬實。結果短時間內完成 15 次轉帳,合共約二億港元,事後先證實成個 call 都係 deepfake,畫面同聲音全部由 AI 生成。攻擊者利用公司網站、訪問等公開資料訓練模型,做到即時互動同自然表情。當「權威」結合「真實感」,人嘅大腦更容易自動假設唔需要再驗證。研究亦顯示,當「權威」同「時間壓力」同時出現,服從率會明顯上升。
信任武器庫:互惠原理 (Reciprocity)
點解「幫你」會成為武器?心理學家 Robert Cialdini 喺《Influence》入面提出六大說服力原則,第一條就係 Reciprocity(互惠原理)。簡單講:人天生唔鍾意「欠人」。當別人俾咗好處你,你自然會想還。呢套機制喺正常社交係好事,因為鼓勵合作。但一旦被寫入騙案劇本,就會變成可預測同可重複利用嘅攻擊手段。
近年唔少騙案,都有類似模式:先用恐懼開局(話你涉及洗黑錢、詐騙案),令你情緒崩潰,之後「公安」話可以幫你查清楚,甚至好有耐性教你點樣操作「保證金」、「安全帳戶」。你覺得自己「被幫緊」,信任唔再只係基於對方身份,而係基於一種情感:「如果佢係呃我,點解要用咁多時間?」
呢個就係一種 Trust Transference(信任轉移):你將「對方付出」當成「對方值得信任」嘅證據。當對方話:「跟我指示,將錢轉去指定帳戶。」你已經唔係單純「聽命令」,而係覺得自己「配合同一個幫緊你嘅人」。問題就係:呢套互惠機制,本身就係俾人寫入劇本,精準利用。呢個唔係你太天真,而係一個本來用嚟維繫人際關係嘅心理機制,被反轉嚟用。
信任武器庫:社會證明 (Social Proof)
點解「人哋都咁做」會令你放低戒心?當人唔確定點做先啱嘅時候,會參考其他人點做。呢個就係 Social Proof(社會證明),又或者叫「從眾心理」。喺高不確定性環境,觀察群體行為係一種有效嘅「捷徑」。平時出街食飯,邊間多人排隊就覺得應該會唔太差。攻擊者知道,Social Proof 係可以偽造嘅。
假投資 App 下面通常有好多好評,甚至有專家名人代言(當然可以又係 Deepfake)。當你見到咁多「人」,你嘅大腦會自動降低風險評估,出現:「咁多人都得,應該唔會輪到我出事。」但背後,其實只係「群體決策」稀釋咗個人責任感。再進階少少,攻擊者會先 hack 熟人帳號,再出post。見到係熟人 post 嘅,你自然連果少少懷疑都冇埋。呢一刻,Social Proof 已經同 Authority(你對朋友嘅信任)疊加咗。
你最大嘅敵人,其實係你自己
三種武器,指向同一個核心:將原本應該「先驗證後行動」嘅步驟,改寫成「直接信任再行動」。權威令你覺得唔應該質疑,互惠令你覺得唔好意思拒絕,社會證明令你覺得唔好唱反調。但可惜,呢啲都未必係攻擊者嘅終點。
下一次,我地會拆解:Self-Actualization(自我實現需求)。「好奇心」點樣害死貓?點解喺騙案入面,受害人會愈輸愈深,仲會說服自己:「再入多一次,應該可以返到轉頭」?Cognitive dissonance(認知失調)同 sunk cost effect(沉沒成本效應)點樣被系統性利用?呢一刻,攻擊者已經唔需要再呃你,因為你已經開始親手說服返自己。
Leave a comment