iT邦幫忙

2025 iThome 鐵人賽

DAY 29
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 29

Day 29 | 社交工程攻擊與防範技巧

  • 分享至 

  • xImage
  •  

社交工程(Social Engineering)是指透過心理操控、人為騙術,誘使目標人物洩漏敏感資訊或執行不當行為的攻擊方式。此類攻擊不依賴技術漏洞,而是利用人性的弱點,是資訊安全中最難防範的一環。


一、社交工程攻擊常見手法

攻擊手法 說明 範例
魚叉式網路釣魚(Spear Phishing) 針對特定個人或組織設計的釣魚攻擊 偽造老闆或客戶發送帶有惡意附件的郵件
釣魚郵件(Phishing) 大量發送偽造郵件,誘導受害者點擊惡意連結或輸入帳密 偽造銀行網站要求更新密碼
誘餌攻擊(Baiting) 利用有吸引力的物品或資訊誘使受害者上鉤 送帶病毒的USB隨身碟
預設信任(Pretexting) 偽裝成可信賴身份,取得敏感資料 偽裝IT人員電話詢問帳號密碼
尾隨(Tailgating) 未經授權尾隨合法人員進入限制區域 跟在員工身後進入門禁大樓

二、社交工程攻擊的危害

  • 個人帳號與密碼外洩
  • 機敏資料被竊取或篡改
  • 企業機密洩漏
  • 造成系統感染惡意軟體
  • 破壞企業形象與信任

三、防範社交工程的有效策略

策略 說明
使用多因素驗證(MFA) 即使密碼外洩,仍需第二層驗證
資安意識教育 定期培訓員工辨識詐騙郵件與可疑行為
驗證來電身份 遇不明來電時確認對方身分
不隨意點擊不明連結或附件 避免惡意軟體入侵
針對敏感資料設置存取權限 僅限必要人員存取,避免資料過度曝露
使用垃圾郵件過濾與防釣魚技術 減少詐騙郵件進入收件箱
定期更新與修補系統 防止惡意軟體利用漏洞進行二次攻擊

四、實務小提醒

  • 遇到不明郵件或電話,切勿急著回覆
  • 不隨意透露個人與公司敏感資訊
  • 定期參與資安訓練,提升警覺性

上一篇
Day28 | 帳號安全與密碼管理政策
下一篇
Day30 | 資安常見攻擊類型解析
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言