在數碼經濟迅速發展的今天,企業風險管理的焦點正發生深刻轉變。過去,防火牆、加密演算法與入侵監測系統是企業抗衡網絡威脅的三大支柱,但越來越多的安全事故證明,真正危險的漏洞往往不是技術層面的錯誤,而是人性本身。社會工程學(Social Engineering)這種結合心理操控與資訊技術的滲透方式,已由邊緣攻擊手段,演變為對金融秩序與國家安全具實質破壞力的核心威脅。
2024年初,一宗由人工智能深偽(deepfake)技術引發的重大詐騙案震驚全球。涉事機構為國際知名工程顧問公司Arup,而事件的發生地點,正是香港的辦公室。據報導,該公司一名財務部職員收到一封電郵,內容聲稱來自英國總部的財務總監,要求其協助處理一項「極機密的交易」。這類情境在企業內部並不罕見,但職員仍有所懷疑。幾日後,一場視像會議召開,畫面中出現多位他熟悉的同事面孔,包括發出指令的CFO,言談舉止亦無可疑之處。然而,會議中的每一個參與者,實際上都是由人工智能生成的假人,無論聲音、樣貌、語調,均透過先進的 AI演算法合成。受害職員最終在對方引導下進行了十五筆資金轉帳,合共二億港元,全部匯入本地多個銀行帳戶。Arup事後確認事件屬實,此案亦被視為全球規模最大、技術最成熟的AI偽冒詐騙個案之一。
這宗案件標誌著社會工程攻擊已不再局限於電郵釣魚、語音詐騙或假冒來電,而是進入了全新階段:透過AI工具模擬「信任關係」,將虛構指令包裝成視覺與聽覺都幾可亂真的假象,直接操控具簽署權與財務權限的人員,令原本嚴謹的財務制度形同虛設。對於企業而言,這樣的攻擊方式不僅高度隱蔽,且極難防範。更重要的是,這類攻擊一旦發生,往往牽連甚廣,涉及內部調查、聲譽風險、法律責任,甚至可能成為市場對公司治理信心崩潰的導火線。
從國家層面而言,社會工程學不單是資訊安全議題,更是當代認知戰的一部分。近年世界各地出現的資訊干預、社交媒體操控與心理戰行動,已歸類為「第五代戰爭」(Fifth Generation Warfare)的關鍵元素,而社會工程手段正是滲透企業與公共機構的實際工具。一名被騙的中層主管、一場被操縱的虛假會議、一則經內部群組轉發的虛假訊息,均可能為攻擊者創造缺口,影響資金流向、決策延誤、投資信心,甚至觸及金融穩定與基建安全。
香港作為中西交匯的國際金融中心,在此類風險中處於尤為敏感的位置。一方面,本地企業與政府機構高度依賴跨境通訊與即時協作,驗證機制往往無法覆蓋所有緊急指令;另一方面,香港的企業文化傾向效率與信任,高層與中層之間的授權鏈相對扁平,令社會工程攻擊更容易「得手」。此外,不少中小企缺乏滲透測試與模擬演練經驗,資訊安全訓練流於形式,前線員工難以識破複雜的詐騙手法。根據香港電腦保安事故協調中心(HKCERT)2023年報告,本地企業面對的資訊安全事故中,釣魚與假冒電郵仍佔主導地位,惟AI偽冒的攻擊模式自2024年起出現顯著上升趨勢。
要有效防禦這類人性導向的滲透風險,企業不能再單靠資安技術升級,而必須從制度設計與文化塑造入手。首先,管理層須建立「零信任」驗證文化,即便是來自高層的指令,也需經雙重核實與多方確認。其次,企業應主動引入紅隊演練(Red Teaming)制度,定期透過內部模擬攻擊測試人員警覺性與應變能力。再者,在「環境、社會和公司治理」(ESG)日益受到重視下,企業的資訊安全與內部控制亦應納入ESG報告中作為披露項目,藉以向市場證明自身的風險抵禦能力與社會責任承擔。此外,特區政府亦可考慮制訂更具前瞻性的企業國安風險管理指引,鼓勵企業從國家安全角度審視資訊及人力流程中的潛在滲透點,尤其是涉及資金、供應鏈與數據權限的環節。
當今企業面對的最大風險,未必是看得見的網絡攻擊或駭客,而是無聲無息的「說服」。信任,曾是企業營運的基石,但若無制度與警覺力支撐,信任亦可被武器化。社會工程的攻擊方式證明,單憑技術無法守住一道防線,惟有提升整體組織文化、員工警覺、管理制度,企業方能真正應對這場結合人性與演算法的無形戰爭。資訊安全已不再只是技術部門的事,更是關乎治理、風控、聲譽與國家穩定的核心議題。
