第一次聽到社交這兩個字是在相聲瓦社的「惡鄰依依」裡面…
據說指的是「色情跟性交易」…

不過，隨著接觸的事件越來越多，後續才知道「社交工程」是一項資安的技術。

社交工程

我覺得社交工程是一種詐騙手法，不論以交談、書信、仿造、假冒或口語用字等方式，從合法用戶中套取用戶系統的秘密，例如：用戶名單、用戶密碼及網絡結構

「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。
社交工程圈套最常見於 Web 資安威脅攻擊中，利用目前備受矚目的重大事件與新聞作為誘餌，無論是政治、運動、娛樂性質，同時也不分全球性或地區性。此外，社交工程圈套也可能利用日常活動作為誘餌，例如線上理財、投資、帳單管理以及購物等等。

其實前公司也是遇到社交工程的信件，才讓我開始轉向走資安的路線的…
畢竟各種手法真的層出不窮，遇多了也是要來研究一下的嘛…

這件事情就是從一封冒充董事長的E-Mail開始，是寄給財務部的同仁，大概是長這樣子：

「財務長名字：
　我的電子信箱滿了，煩請將採購部的同仁通訊錄寄給我，謝謝。」
　然後署名電子信箱的位址及董事長名字

再來也有很「聳動的電子郵件主旨」、「不正常的發信時間」、「不明來源的位址」或「緊急要求或要求提供個人機敏資料」之類的…

大概會有什麼樣的目的呢？

取得機敏資料

透過社交工程去騙取或竊取商業機密之類的…
透過社交工程去偷取機密，像說對方的標案的底價，像說Yahoo!在歷年併購時，都傳出就偷取到了底價用極低的金額併購其他公司。新聞已不可考

偽裝成其他角色

像說偽裝成廠商或客戶提出銀行帳戶更正…
這個我們公司有收過，客戶提出說我們修改銀行帳號了，下個月匯款請匯款至新帳戶。

惡意程式(包含勒贖軟體)散佈

包含夾帶後門程式或轉帳元件、側錄元件、木馬程式，就能做很多事了呢 =v=+
不過最熱門的案例在這兒…
關鑑字請下：靠北工程師 + ERP

公司教育訓練宣導

公司也會透過電話或郵件做資安政策宣導