到職的第一個月，接到了一個小小的任務
顧問們將要到客戶端做資安認知教育訓練
而客戶在確認課程簡報的過程中，提出了一些建議：
「內容太艱澀了，認知課程希望要生活化一些」
希望能調整到符合客戶單位需求的授課內容

面對授課的對象為非IT產業背景的客戶
要尋找貼近生活化的例子進行說明

而通常非IT單位內部最相關的資安認知宣導就是
社交工程防範

社交工程(Social Engineering)攻擊的定義

• 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
• 包含電話詐騙、通訊軟體詐騙、電子郵件及簡訊詐騙等
• 企業常見透過電子郵件進行攻擊或網頁暗藏木馬/rootkit
  • 使用與業務相關或令人感興趣的郵件內容
  • 含有惡意程式的附件或連結
  • 假冒寄件者
  • 利用應用程式之弱點
• 而最終的目的在誘騙收信者提供個人資料(如：帳號、密碼)
• 引誘收信者透過下載方式來執行以圖片、連結、夾檔所偽裝的惡意軟體。
  
  「釣魚信件」的目的在於騙取使用者的個人資訊，進而利用該資訊。
  仿照某公司的正式信函，透過偽造的內容，要求你點選網址登入網站，使資料遭到竊取。

釣魚郵件要釣什麼呢？
我們的攻擊目標，通常可分為以下三種

• 竊取機敏資料：主要騙取金融相關服務的登入帳號及密碼，可能也為了後續騙取金錢財物目的；其次是電子郵件或其它網路服務的登入帳密。
• 騙取金錢財物：可能通知受害人中了大獎，或稅務相關問題，以誘騙受害人匯款。
• 誘導執行惡意程式：通常在郵件中放置惡意程式、惡意連結，並誘騙受害人開啟，目的在取得受害者電腦的控制權。

其他常見的社交工程攻擊方式....

• 電子郵件隱藏電腦病毒
  將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，看似朋友所寄來的郵件，卻是應用社交工程的電子郵件。
• 網路釣魚
  偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，收件人若未小心求證而點擊了郵件中的連結，可能就下載了惡意程式，或假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷。
• 偽裝修補程式
  通常使用者對此類程式難有警覺，若安裝了這類的檔案，不但無法修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。

認知教育訓練課程應避免使用專有名詞，採口語化的表達
規劃配合時事貼近民眾，以提升資安意識及警覺性
大量的圖片及少量的文字說明，加深民眾對內容的印象
社交工程將分為幾個部分整理給各位