在數位時代，社交工程攻擊變得越來越普遍，因為這類攻擊比技術性攻擊更容易成功，因為它不僅依靠技術漏洞，還針對信任、好奇和恐懼等人性。今天我要學習社交工程攻擊的主要形式、背後的心理操縱，以及如何防範這些攻擊。

什麼是社交工程攻擊

社交工程攻擊是一種透過操縱人的心理或情感來達成某種目的的攻擊手段。攻擊者利用人類行為上的特定特質來欺騙他們，這些特質包括信任他人、渴望幫助別人、害怕失去重要事物等。這些攻擊常常繞過技術層面的防護例如防火牆或加密措施，而是直接針對人性弱點。

常見的社交工程攻擊形式*

1. 網路釣魚（Phishing）
   網路釣魚攻擊是最常見的社交工程攻擊形式之一，攻擊者會偽裝成合法機構（例如銀行、公司）發送電子郵件或訊息，誘使受害者點擊惡意鏈接、下載惡意附件，或者提供個人資料。這些訊息可能會要求使用者更新帳號、驗證身份或處理所謂的「安全問題」。

2. 電話詐騙（Vishing）
   Vishing 是指利用語音電話進行的詐騙攻擊。攻擊者可能會假扮銀行、政府機構或技術支援人員，藉此要求受害者提供敏感信息，例如信用卡號碼或社會保險號碼，這些攻擊利用受害者對機構的信任和對緊急情況的恐懼。

3. 即時訊息釣魚（Smishing）
   Smishing 是透過即時訊息平台進行，攻擊者發送偽造的訊息，聲稱是來自銀行、電商平台或其他服務，要求使用者點擊連結或回應敏感信息。

4. 餌誘攻擊（Baiting）
   餌誘攻擊涉及提供某種「誘餌」，例如免費的下載、音樂、影片，或者是USB裝置，讓受害者將惡意軟體安裝到他們的設備上，攻擊者利用受害者的好奇心或貪小便宜的心理進行攻擊。

5. 假冒技術支援（Tech Support Scams）
   攻擊者假扮技術支援人員聯繫受害者，聲稱他們的電腦感染了惡意軟件或有其他技術問題，並引導受害者下載「解決問題」的軟體（實際上是惡意軟體），或直接騙取信用卡號碼等信息。

6. 尾隨攻擊（Tailgating）
   這是一種物理層面的社交工程攻擊，攻擊者假扮成員工或訪客，尾隨合法的工作人員進入安全設施或辦公室，而不需要進行身份驗證。

7. 冒充高層詐騙（CEO Fraud / Business Email Compromise, BEC）
   攻擊者假冒公司高層或財務主管，向公司內部員工發送看似合理的電子郵件，要求他們進行未經授權的匯款或洩露敏感商業信息。

社交工程攻擊的心理操縱技巧

社交工程攻擊可以成功，主要在於攻擊者如何巧妙操縱受害者的心理。攻擊者常利用人們對權威機構或知名人物的信任，假裝自己是某公司、政府部門或主管，讓受害者相信他們的話。恐懼也是一個重要因素。攻擊者可能會創造某種緊急情況，例如聲稱你的銀行帳戶被鎖，要求你立即採取行動，以此來施壓。還有，慾望往往被利用在餌誘攻擊上，像是提供免費產品或優惠券，這很容易讓人放下戒心。攻擊者有時也會假裝自己處於困難情境，激發人們的同理心來幫忙他們，結果卻落入圈套。

如何防範社交工程攻擊？

防範社交工程攻擊的關鍵在於保持警惕，當遇到任何涉及個人資料或財務問題的請求時，要很小心，不要輕易相信不明來歷的電話或訊息。不要隨便點擊連結或下載附件，即便發件人看似熟悉，仍應該仔細檢查訊息的合法性。使用多因素認證可以大幅提高帳戶的安全性，哪怕密碼被洩露，攻擊者也無法輕易登入。而定期更換密碼，並確保密碼複雜且不重複使用，這樣可以有效降低帳戶被入侵的風險。