真的假的

📢 【中山大學心理實驗招募】探索大腦祕密，領取 $2000 參與費！ 大家好！我們是 中山大學教育研究所馮雅群老師的心理學實驗室。你是否好奇過： 為什麼大腦會不由自主地感到擔憂？ 我們處理資訊的「慣性」是否可以透過練習來改變？ 我們正在尋找對「人如何思考」感興趣的夥伴，一起參與這場認知科學的探索旅程！如果你寒假在高雄，又有點時間的話，歡迎報名參與！ 參與獎勵（分階段發放，總計 $2,000） 這是一個長期的認知學習研究，完成每個階段皆有對應獎金： 第一階段 (實體)： 領取 $500。 第二階段 (線上)： 領取 $1,000。 第三階段 (實體)： 領取 $500。 📍 實驗地點： 國立中山大學 社會科學院 2 樓心理學實驗室（邀請時將再說明詳細地點） 報名方式 報名表單：https://forms.gle/TAXsDG94iTskJ76F8 (表單連結請見留言處或掃描圖片 QR Code) 錄取通知： 符合資格者，我們將寄發電子郵件通知，提供詳細流程與同意書，並安排實驗時間。 聯絡資訊 若有任何疑問，歡迎隨時聯繫： 研究助理： 邱玉倩 [email protected] 小提醒： 名額有限，若額滿將寄信詢問您參與未來研究的意願。歡迎大家踴躍報名，給自己一個了解大腦的機會！ 教育研究所 馮雅群 助理教授 敬上

車上聽到的駭客故事，讓我嚇出一身冷汗 前陣子放假，我跟先生開車出去玩，車上播著podcast。我隨手點開了一集節目，標題好像是講網路詐騙什麼的。我本來想換掉，結果先生說等等，他想聽（受訪者有上60分鐘我會貼在留言區）。 然後呢，我們兩個就這樣在車上，越聽越毛骨悚然。 節目一開始，主持人介紹了一位叫Rachel Tobac的女生，她是那種「白帽駭客」，就是專門幫公司找系統漏洞、測試安全性的那種。她看起來超年輕的，完全不像我想像中的駭客。主持人問她能不能示範一下，怎麼用「社交工程」騙到別人的資料。 Rachel說沒問題，然後她就挑了一個目標——節目裡記者Sharyn Alfonsi的助理，一個叫Elizabeth的女生。 我那時候心想，好啊，來吧，讓我看看駭客有什麼厲害的。 結果你知道她怎麼做嗎？她先從網路上找到Elizabeth的手機號碼，這個不難，很多人LinkedIn或公司網站上都有。然後她做了兩件事，聽起來像科幻片一樣。第一，她用軟體「偽造」了來電顯示，讓Elizabeth的手機上顯示來電是她老闆Sharyn。第二，她用AI把Sharyn的聲音複製下來。對，你沒聽錯，就是從電視節目片段裡擷取聲音，然後用AI合成。她說這個過程大概五分鐘就搞定了。 接著她就打電話給Elizabeth。 電話那頭，假的「Sharyn」用很自然的口吻說：「Elizabeth，不好意思打擾妳，我現在有點急。那個烏克蘭的採訪行程確定了，但我需要護照號碼才能訂機票，妳能幫我查一下然後唸給我聽嗎？」 我在車上聽到這裡，整個人愣住。因為這聽起來太...太正常了。如果是我接到這通電話，老闆的名字跳出來，聲音聽起來也是對的，我會懷疑嗎？ Elizabeth沒有懷疑。她說好，然後就去找護照資料，把號碼唸出來了。 就這樣。不到十分鐘，搞定。 後來節目裡Rachel放錄音給Elizabeth聽，這個女生整個崩潰，一直說「天啊我被騙了，我失敗了。」但Rachel很溫柔地跟她說，這不是妳的問題，是因為這種攻擊太有效了。她說每次她做這種測試，沒有一個人能逃過。每次都成功。 我先生那時候在開車，他側過頭看了我一眼，說：「聽起來很熟悉吧？」 我那時候腦子裡突然閃過一件事，整個背脊發涼。 我差點就中招了 大概幾個月前吧，我在LinkedIn收到一個訊息。對方說是什麼recruitment agency的，公司名字看起來挺正式的，她說他們手上有個職缺很適合我，問我有沒有興趣聊聊。 我那時候其實沒在找工作，但你知道嘛，有時候就是想看看外面的機會。而且對方真的很專業，公司的LinkedIn頁面做得很完整，有團隊照片、有過往職缺紀錄，看起來不像假的。 我們約了線上視訊面談。整個過程很順利，她問我現在的工作內容、期望的薪資範圍、什麼時候可以開始上班。我們聊了大概四十分鐘，氣氛很好，她還說覺得我很適合這個position，會推薦給hiring manager。 然後快結束的時候，她說：「對了，公司流程需要做背景調查，還有之後如果拿到offer，薪資轉帳也需要先設定。妳方便提供一下銀行卡的後四碼嗎？不是全部卡號啦，就後面四個數字，這樣我們人資那邊可以先建檔。」 她說得很輕鬆，好像這是很正常的流程。而且她還特別強調「只是後四碼」，讓人覺得這沒什麼大不了的。 但我心裡就是覺得怪怪的。 我記得我停頓了幾秒鐘，然後跟她說：「這部分我覺得應該等到正式offer發出來之後，透過公司HR系統填寫會比較適當。我現在不太方便提供這個資訊。」 她愣了一下，然後說：「喔...好的好的，沒關係，那我們再聯絡。」 之後？就沒有之後了。完全沒消息。 當時我還在想，是不是我太謹慎了，把一個好機會搞砸了。但我先生聽完整個過程，很肯定地跟我說：「妳做對了。這百分之百是詐騙。」 現在在家再次重聽60 Minutes這個節目，我才知道我有多幸運。 原來這就是社交工程 我先生在國際銀行工作，他的工作包含資料保護這一塊。平常在家我們也會聊到一些案例，但我從來沒想過這種事情會發生在我身上。 他跟我解釋，那個Rachel在節目裡展示的，還有我在LinkedIn遇到的，都是所謂的「社交工程攻擊」。簡單講，就是駭客不需要什麼高超的電腦技術，他們只需要懂得怎麼操縱人心。 他說，現在95%的駭客攻擊都是這樣開始的。不是從系統後門潛進去，而是直接敲你的前門，然後你自己把門打開。 整個運作方式其實很細膩。詐騙者會先從公開資訊開始收集你的資料，比如LinkedIn、Facebook、Instagram，甚至是公司網站。他們知道你在哪裡工作、認識誰、有什麼興趣。然後他們會偽裝成「自己人」，可能是你的同事、老闆、或是像我遇到的，獵頭公司。 接下來就是建立信任。他們會用一些只有「內部人」才知道的術語，或是提到一些你確實認識的人、發生過的事情。這會讓你的大腦自動判斷：這個人是真的。 然後他們會製造一種緊迫感。可能是「這個職缺今天就要關閉了」、「你的帳戶出現異常需要立刻處理」、或是像那個Elizabeth遇到的，「老闆需要護照號碼訂機票」。當你處於這種緊張或興奮的狀態時，你的判斷力就會下降。 最厲害的是，他們不會一次要太多。他們會從看似無害的資訊開始問，比如「確認一下你的email」（這個是公開的，你不會覺得有問題）、「請提供出生日期」（很多人生日都設公開的）、然後才是「最後確認一下信用卡後四碼」。 每一步都很小，你都覺得還好。但當你一步一步答應之後，心理防線就被攻破了。 我先生說，銀行卡後四碼聽起來沒什麼，但對詐騙者來說，這是最後一塊拼圖。他們有了你的名字、生日、email、電話、再加上卡號後四碼，就可以透過「忘記密碼」或「客服驗證」的方式，一步步攻破你的帳戶。 他告訴我，他每天處理的案例裡，80%的資料外洩都不是因為技術被攻破，而是因為「人」被攻破了。因為我們想要相信別人是善意的，我們不想顯得多疑或不禮貌，我們在時間壓力下會降低警覺，我們會被「權威」或「專業形象」說服。 這就是人性的弱點。 LinkedIn到底還能不能用？ 說實話，這件事之後我有點不敢用LinkedIn了。但我也知道不能因噎廢食。 之前就聽朋友抱怨過，他想幫前同事介紹工作機會，在LinkedIn上聯絡對方，結果對方二話不說就把他封鎖了。連解釋的機會都沒有。我朋友超無言，他說：「我真的只是想幫忙，又不是詐騙集團。」 所以我覺得重點不是要變成那種拒人於千里之外的人，而是要懂得怎麼保護自己。 我現在的做法是這樣：如果有人在LinkedIn上找我談工作，我會先去Google那家公司，看看有沒有官網、有沒有實體辦公室、在不在商業登記系統裡。然後我會跟對方說，請提供公司的官方email，而不是用私人信箱或LinkedIn訊息聯絡。 如果對方真的是正規公司，他們不會介意這些要求。如果對方開始推託，或是說什麼「我們公司比較彈性，都用LinkedIn溝通」，那就要小心了。 還有最重要的一點：任何要求你提供敏感資訊的，不管是銀行帳號、身分證字號、信用卡資料，甚至是密碼重置的驗證碼，都不要在社群媒體上給。真正的公司會有正式的系統和流程，不會在LinkedIn或Facebook上問你這些東西。 我先生也提醒我，如果真的拿到offer，所有的資料應該是透過公司的HR系統填寫，而且會有正式的合約和法律文件。不會是某個人在電話裡或訊息裡跟你要。 後來我們怎麼看這件事 那次在車上聽完節目後，我跟先生聊了很久。他說他同事每天在銀行處理這些案件,看到太多人受害了。有些人損失幾千塊,有些人是幾十萬。最慘的是那些退休老人,一輩子的積蓄就這樣沒了。 節目裡提到,去年美國人因為網路詐騙損失了超過一百億美金。三十幾歲的人報案最多,但六十歲以上的老人損失最慘重。因為詐騙者現在會用AI複製孫子的聲音,打電話給阿公阿嬤說「我出車禍了需要錢」、「我被抓了需要保釋金」。 我先生說,這個世界變得很複雜,但基本的原則沒變:如果有人要你的錢或你的資料,慢下來,想一想,查證一下。真的有急事,對方不會介意你多花幾分鐘確認。如果對方一直催促你、讓你緊張、不給你時間思考,那十之八九有問題。 我自己的心得是,保持警覺不代表要變得冷漠。這個世界上還是有很多真心想幫忙的人,也有很多真實的機會。但我們需要學會辨識,需要懂得保護自己。 就像我那次在LinkedIn的經驗,如果我當時沒有停下來想一想,現在可能就在處理身份被盜用的麻煩了。但我也不會因為這樣就把所有陌生人的訊息都當成詐騙,因為說不定下次真的有個好機會呢。 重點是,下次如果有人要你的銀行資料、身分證號、或任何看起來有點奇怪的資訊,記得停下來問自己:這真的合理嗎?正規公司會這樣做嗎? 那一通電話、那一個決定,可能就是你的帳戶安全和災難之間的差別。 我很慶幸那天我選擇相信自己的直覺。也很慶幸在車上聽到那個節目,讓我更確定自己做對了。 如果你也有類似的經驗,或是曾經差點上當,不用覺得丟臉。那些詐騙者就是專業的,他們每天都在研究怎麼騙人。連60 Minutes節目裡那個科技專業的助理都被騙了,更何況是我們這些普通人。 重要的是學會保護自己,然後也提醒身邊的人。尤其是家裡的長輩,他們更容易成為目標。 保持警覺,但也保持開放。這大概就是我們在這個數位時代需要學會的平衡吧。

【新春喜訊】高雄市今年除夕農曆30日（後天2月9日）中午過後到大年初三(2月12日)，汽機車違規停車暫停拖吊，除非民眾檢舉，妨礙交通才會拖吊！大年初四早上八點恢復拖吊，需要者或開車來高雄旅遊者，請轉送親友共同分享，謝謝。