你是不是也覺得:同校、同社、同公司、同專案的人「比較安全」?
社工最愛抓這點做文章——先靠「我們是一國的」降低你的戒心,再一步步把你帶到他想要的位置。心理學叫 團結(Unity)/同溫層效應:覺得是「自己人」,就更願意幫忙、分享、放行。
一、為什麼這招特別有效
- 身份貼標:同校、同系、同梯、同社團——只要貼上共同身份,你就比較不好意思拒絕。
- 社群背書:群裡大家都在點、在讚、在轉,你會覺得「看起來很正常」。
- 邊界模糊:圈內規則常比較鬆(例如共用帳密、共享雲端),方便也變成風險。
小提醒:團結 ≠ 可信,只是比較好張嘴而已!
二、同溫層常見 3 個套路
1.校內二手/外宿群 → 表單收個資
- 「學弟你好~我們系學會在蒐集二手課本/外宿資訊,填一下表單(姓名、電話、宿舍地址)~」
- 下一步:後續以「保證金」或「身分驗證」為名,要你匯款、上傳證件影像,或引導到非學校網域登入。
2.公司「臨時專案」新群 → 外部雲端連結
- 「PM 這邊開了一個臨時 Teams/Slack 群,先加入;檔案在這個 Drive(任何人可存取),先登入就能看。」
- 下一步:把你導去個人 Gmail/不明網域登入,拿你的憑證或要求安裝「協作外掛」。
3.比賽/社團合作 → 假 SSO 門戶
- 「黑客松夥伴先到這個入口用 Google/Microsoft SSO 登入,才看得到賽務資料。」
- 下一步:入口其實是仿站(同形字網域),直接收你的帳密或一次性驗證碼(OTP)。
三、立刻可用的 3 招反制
1.圈內也要驗:先認「主辦/網域/入口」
- 校內活動:只信學校官網/學校網域表單(*.edu.tw 等)。
- 內部專案:只用組織雲端(SharePoint/Google Workspace 組織帳)與官方 Teams/Slack。
- 合作比賽:入口需能從官方公告頁點到;不是就別登。
2.把第一步拉回你能控的通道
- 我自己從官網書籤開連結;不點群組/私訊短網址。
- 不在 Line/Discord 內做登入;要登入就改走官網入口。
- 口訣:我主動發起、我選通道、我能驗證。
3.權限最小化+到期收回
- 檔案只開需要的人,外部協作設到期日。
- 嚴禁共用帳密;用個人帳號+角色權限。
- 定期檢視「誰對什麼有權限」,專案結束一鍵收回。
四、回覆方式
1.要官方入口
- 「我只從學校/公司官網入口進,不用群組連結。給我官網頁面就好,我自己進去。」
2.拒絕外部雲端/短網址
- 「請放到學校/公司雲端的組織資料夾,或開工單申請權限;短網址或公開 Drive 我不會登入。」
3.驗身分再合作
- 「方便附上系辦公告/公司公告連結或活動官網嗎?我確認一下再加入。」
小結
我知道你會想:「都是自己人,幫一下應該沒事吧?」先別急。圈內好說話這件事,正是社工最愛用的槓桿。規則寫清楚、通道綁官方、細節能驗證,圈內也要驗,就不容易被人性反過來利用。
下集(D7) 我們把前面講的原則收斂成一張「三步驗證 SOP」:來源別在同通道驗、內容見急先停、動作只走你的書籤與官方 App。