身份安全威脅的最直接有效的方式，
即為社交工程(Social Engineering)，
透過搜集目標組織的任何有效資訊，
例如官方網站、員工資訊、電子郵件信箱等等，
或是社群媒體、部落格、論壇有關於特定公司或員工等資訊等。

社交工程由於牽涉到人類(Human beings)，
而不是單純的 IT 系統的防護技術的實施，
也由於社交工程是透過操縱人類達到近似合法的存取，
也因此在實務上的防護也相對困難。

社交工程運行方式

組織層級、組織角色多元，
也因此社交工程可以鎖定的對象角色的選擇也很多，
像是服務台員工帳號、技術支援帳號、系統管理員、
外部供應商、駐點人員或是高階主管等，
都是成為社交工程鎖定的對象。

而針對不同潛在對象所採用的社交工程機制也不同，
像是以人類互動為主的 Human-based 社交工程，
例如冒充(Impersonation)、肩膀窺探(Shoulder Surfing)等，
或是使用電腦互動的技術的 Computer-based 社交工程，
例如釣魚郵件、垃圾郵件或偽冒合法的即時訊息。

也有像是透過手機方式(Mobile-based)進行的社交工程，
例如透過 SMS 的釣魚、偽冒合法的 Mobile Apps 誘騙下載等，
也都是常見的社交工程機制與手段。

社交工程的防護策略

透過冒用值得信賴的品牌、聯絡人或有價值的商品，
借此吸引貪婪、恐懼或好奇心驅使的人類狀態，
讓駭客能達到操縱人心與劫用人類合法身份憑證的目的。
因此社會工程攻擊很難預防，因為它依賴人類心理而不是技術途徑，
而也由於只要有一名合法員工遭冒用後也會導致整個組織遭到危害。

也因此要有效降低社交工程的做法，包括：

• 人員安全意識的培訓：
  透過訓練方式讓人員具備網路安全使用的意識，
  以及謹慎管控手上持有的身份憑證。

• 實施妥善的安全存取控制
  實施包含前面提到的 SSO/MFA 或零信任策略，
  強化身份存取活動的認證保護、活動監控與風險示警。

• 部署更多進階的資安工具
  由於社交功能活動與終端用戶大幅相關，
  也因此透過整合的資訊安全工具的聯動聯防，
  例如電子郵件閘道器、垃圾郵件過濾器、
  防火牆、防毒軟體、端點偵測與回應工具等等，
  可以幫助安全團隊快速偵測和消除社會工程感染網路的安全威脅。

小結

社交工程是永不停歇的攻擊手段，
因為人類始終會是最後的防火牆，
無論技術如何演進、進步與全面，
透過合法的「木馬」進如拓洛伊城還是最直接方便的。