公布日期：2023-06-21 發布單位： 資訊科  
社交工程(Social Engineering)是一種攻擊者利用與人互動和操弄來達到目的的技術。通常涉及說服受害者為了攻擊者的金錢或資訊利益而危害自身安全或破壞安全最佳作法。駭客經常會用社交工程來偽裝自己及動機，通常是冒充成可信任的對象。


歸根究底，重點是要去影響、入侵人心 – 而非系統。這類攻擊通常都依賴於人們的善良本性或對負面情況的恐懼。社交工程很受攻擊者的受歡迎，因為利用人性要比利用網路或軟體漏洞要來的更加容易。

常見的六種社交工程陷阱

以下列出幾個注意的主要社交工程陷阱：

⚠️1.網路釣魚（Phishing）
最常見的社交工程類型之一。這類攻擊會使用電子郵件或簡訊來誘騙受害者點擊惡意附件或有害的網站連結。


◎延伸閱讀：

「Netflix、LinkedIn 網路釣魚 」「信箱收到小七禮券」「請登入gmail重設密碼」「填問卷抽iPhone14」「你的 IG 帳號被投訴」「你的連線不是私人連線」這些是詐騙嗎？

⚠️ 2.下餌（Baiting）
這類攻擊會利用人們的貪婪或好奇來引誘受害者。受害者會被誘入陷阱，進而導致敏感資訊洩漏或裝置感染。一個例子是在公共場所留下受惡意軟體感染的隨身碟。受害者可能對內容感興趣並插入自己的裝置 – 無意中安裝了惡意軟體。


◎延伸閱讀：使用USB隨身碟,三個注意事項

⚠️ 3.假托技術（Pretexting）

你有沒有非預期地接到來自“技術支援”人員的電話，內容是關於需要立即處理的問題？也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術（Pretexting）。在這種攻擊中，攻擊者會對目標撒謊來取得資料。例如，攻擊者可能會假稱需要財務或個人資料來確認收件者的身份。

◎延伸閱讀：這些員工沒看穿的騙局,造成的損失竟比病毒還大!

⚠️ 4.恐嚇軟體（Scareware）
恐嚇軟體的作法是讓受害者被假警報驚嚇,讓使用者會誤以為自己的系統感染了惡意軟體。然後他們會安裝建議的軟體修復程式 – 但這可能是惡意軟體，如病毒或間諜軟體。常見的例子是出現在瀏覽器的彈出橫幅，顯示如“你的電腦可能已經被感染”這樣的文字。它會提供安裝修復程式，或將你導向一個惡意網站。

◎延伸閱讀：假防毒軟體恐嚇詐財,看到中毒警告,請睜大眼

⚠️ 5.魚叉式網路釣魚（Spear phishing）和捕鯨（Whaling）
類似於網路釣魚，但專門針對特定的個人或組織。同樣地，捕鯨攻擊的目標是企業高階主管，如執行長或總監。


◎延伸閱讀：企業可能遭遇的三種網路威脅:好大的胃口!網路捕鯨 (Whaling)專門鎖定企業高階主管

⚠️ 6.尾隨（Tailgating）
尾隨（Tailgating又稱piggybacking）是犯罪分子所使用最簡單和古老的招數之一。就如字面意思的跟著其他人，利用他們的憑證來進入限制區域。早期會出現在地鐵 – 當某人打開閘門時，他們就快速地通過而不用買票。

現在，有越來越多公司的辦公室有門禁，尾隨（Tailgating）問題也跟著增加。幫人開門是種基本禮貌，從手上拿滿東西的同事到沒有通行證的訪客。但門禁對安全來說相當重要。除了要保護實體安全，限制進入工作場所的某些區域可以防止設備或智慧產權被竊。不幸的是，員工對這規定態度鬆散，經常認為只是種安全守則，並不重要。

如何識別社交工程攻擊？

因為這些攻擊有許多不同的形式和規模 – 並且依賴於人為錯誤，所以要識別社交工程攻擊可能相當困難。儘管如此，如果你遇到以下情況，請注意這些都是主要的危險訊號，顯示社交工程攻擊正在開始：

來自陌生人不請自來的電子郵件或簡訊。
內容表現出十分緊急。
要求你點擊連結或開啟附件。
內文包含許多拼寫錯誤或文法錯誤。
或是你接到陌生人打來的電話。
來電者試圖從你那裡獲取個人資訊。
來電者試圖讓你下載一些東西。
來電者說話時也帶著強烈的緊迫感或攻擊性。
如何保護自己免於社交工程攻擊？

除了留意上述的警告訊號外，還可以遵循以下最佳作法：

保持作業系統和網路安全軟體更新。
使用2FA（雙重認證）身份驗證和密碼管理工具。
不要開啟來歷不明的電子郵件或附件。
將垃圾郵件過濾器層級設定為高。
刪除並忽略對財務資訊或密碼的請求。
如果你在互動過程中產生懷疑，請保持冷靜，三思而後行。
小心自己在社群媒體上分享的內容 – 善用你的隱私權設定。
如果是企業員工，請確保自己了解公司資安政策。

資料來源:趨勢科技