在社交工程的攻擊中，我們最常見的也莫過於電子郵件釣魚
電子郵件釣魚也被列為主要進行社交工程演練的項目

由於近年的電子郵件釣魚技術十分成熟
也很容易找到相關的工具
如Kali Linux中的Social Engineering Toolkit(SET)
就可以簡單的模擬釣魚的情境

常見電子郵件釣魚手法

• 會嘗試竊取透過電子郵件、 網站、 文字訊息或其他形式的電子通訊
  • 假冒網址或IP
    • 常見偽裝成正派的機構，利用獎品或是誘人的主旨標題吸引你點選連結，導向假冒的視窗，填寫資料以竊取電子郵件帳密、信用卡卡號和基本資料。
  • 寄送電子郵件
    • 用你的電子郵件寄包含著各式病毒的信件給你朋友、竊取你的網路帳戶惡意發文，自己在網路上發奇怪的文，但卻甚至根本不記得是在什麼地方這些資訊被盜用了。
  • 社群網站登入
    • 用熱門話題作為跳板，吸引使用者點選網址，進入網站裡註冊、登入社群帳號密碼。讓呈現出來的網址與假冒公司的官方網址完全相同，而資料自然若入詐騙集團手中。

社交工程常見的步驟

1. 有心人在電子郵件內放置有害程式或連結
2. 將信件寄給特定或不特定對象
3. 使用者(收信後)開啟信件
4. 啟動連結惡意網頁或下載有害程式
5. 要求輸出使用者資料

關注可疑的電子郵件

• 陌生人或極少往來對象的來信
• 非正常的發信時間
• 過於聳動或緊急的主旨
• 主旨不明或與發信者習慣不同
• 要求輸入敏感資料之郵件
• 內含不明檔案或鏈結之信件

我們對電子郵件釣魚的防範有個簡單的小口訣
三不：不上鉤、不打開、不點擊

三要：要備份、要確認、要更新

使用者只能多一份警覺，在各個步驟多加留意，才能避免我們成為那隻被釣中的魚兒~