最近聽到在公司擔任 IT 主管的友人，討論到公司近期密集透過電子郵件進行社交工程演練，一方面要給員工上教育訓練，一方面要請顧問公司設計誘騙的樣本，每次都要檢查員工觸發連結網址或附檔內含網路釣魚攻擊 (Phishing Attac) 網址的報告，原因是因為有中高階主管電腦中勒索病毒，疑似根因是點擊不安全的網址產生的問題。當然點擊不安全網址的途徑有透過網站、電子郵件、檔案內含連結或者即時通產生的連結。但由於電子郵件釣魚信件實在太像合法信件，因此公司先從使用頻率最高的電子郵件進行社交工程演練。

如果要阻絕不安全的社交工程攻擊 (註1)，通常大家被宣導的方法都是不要點擊來路不明的網址或不要隨意點開連結、觀察網站的內容、對於需要提供個人資料的網站提高警覺 (註2)一般而言，來不明的網址，還算是容易辨識的，至少看到網址名稱很特殊或者是標註網址的前後文，或者網頁的內容，可以明顯看得出是要騙取點擊連結的用詞。但通常難的是看起來就是合法連結，前後文也看起來貼近使用者日常會接觸的工作資訊，例如公司內部公告或者業務性質的連結。這類社交工程攻擊手法，會先寄送帶有安全網站連結之信件，在信件被接收後將網站植入惡意程式，如此一來就可輕鬆繞過僅在接收信件期間檢查 URL 的傳統郵件過濾系統的檢查機制。

觀察實務上企業通常都會以下幾種方式，減少釣魚網址的威脅

導入郵件過濾服務
透過專業防毒、防垃圾信服務來防護，但這一類防護服務可以阻擋大部分帶有惡意連結的垃圾信或釣魚信，但難針對防護針對性攻擊 (Targeted Attact) 與魚叉式攻擊 (Spear Phising)。郵件網址在接收當下可能是安全的，但若該網址被駭客植入惡意軟體，使用者再次點擊，就可能會造成風險。至於進階威脅攻擊防禦手法，就要看服務廠商提供技術能力決定。

郵件收發信權限控管
針對有對外業務需求的帳號才提供對外收信服務，其他一般員工僅提供內部互寄，這種方法多少可以降的外來釣魚信件的威脅，但卻無法阻擋內部威脅，例如員工遭其他方式中了木馬程式被盜取帳密，進而被遙控對其他同事進行釣魚信件散佈，逐漸擴大損害範圍。

多套防毒機制多重保險
為了補強上述內部威脅，許多企業不僅只用一套防毒軟體保護電腦或伺服器，甚至會用到兩套以上，但這就會面臨採購成本是否符合效益的問題，除非兩套防禦機制非常不同，不然多數防毒軟體，都會在短時間內，更新到最新的病毒碼，前後落差不會太大，當然如果使用一般免費防毒軟體就不一定了。

強制轉純文字閱讀
郵件全文轉成純文字，內文帶有網址全部去除連結甚至圖片內含的連結也一併去除，這個方法雖然可以降低第一時間點擊或手誤不小心觸發連結，但對使用上卻比較不方便，建議除了搭配防毒防垃圾信機制，除了要訓練員工有警覺性的，也可以嘗試用廠商提供的 URL 檢查工具檢查網址安全性，例如趨勢科技 Site Safety Center (註3) 但是就會比較麻煩一點，安全跟不方便原本就對立的天平。

改寫 URL 即時偵測
最新的防護技術領域已有廠商提供 URL 改寫服務 (Rewrite URL)，服務的運作方式通常搭配防毒防垃圾信服務，將通過檢查機制的信件中的 URL 連結，全部改寫防　護系統提供的檢查連結。例如原連結 http://www.aaa.com/xxxxx 改寫為 https://廠商服務/xxxxxx 並在使用者點擊當下即時動態分析 (Time-of-Click Analysis)網址，一旦偵測到可疑網址就進行阻擋。(註4)

不論是哪一種社交工程防護策略，都需要搭配持續不斷的內部資安教育與防護技術的升級，將相同的規範框架從郵件再延伸到其他服務，才能逐步降低社交工程攻擊帶來的風險。

參考資料 :

註1:[NCSC]常見的社交工程攻擊方式有哪些?應如何防範?

https://nicst.ey.gov.tw/Page/16FFA138E66A0905/6aececb4-50ec-4c3e-b331-d8e0ddfc4586

註2:[教育部全民資安素養網]如何避開釣魚網站的陷阱？

https://isafe.moe.edu.tw/article/2332?user_type=4&topic=9

註3:[趨勢]免費防毒小工具:快速判定網址是否安全？

https://blog.trendmicro.com.tw/?p=12499

註4:[網擎]Openfind Secure（OSecure）第一季資安威脅報告

https://www.openfind.com.tw/taiwan/markettrend_detail.php?news_id=24615