社交工程(Social Engineering)是指透過心理操控、人為騙術,誘使目標人物洩漏敏感資訊或執行不當行為的攻擊方式。此類攻擊不依賴技術漏洞,而是利用人性的弱點,是資訊安全中最難防範的一環。
一、社交工程攻擊常見手法
| 攻擊手法 |
說明 |
範例 |
| 魚叉式網路釣魚(Spear Phishing) |
針對特定個人或組織設計的釣魚攻擊 |
偽造老闆或客戶發送帶有惡意附件的郵件 |
| 釣魚郵件(Phishing) |
大量發送偽造郵件,誘導受害者點擊惡意連結或輸入帳密 |
偽造銀行網站要求更新密碼 |
| 誘餌攻擊(Baiting) |
利用有吸引力的物品或資訊誘使受害者上鉤 |
送帶病毒的USB隨身碟 |
| 預設信任(Pretexting) |
偽裝成可信賴身份,取得敏感資料 |
偽裝IT人員電話詢問帳號密碼 |
| 尾隨(Tailgating) |
未經授權尾隨合法人員進入限制區域 |
跟在員工身後進入門禁大樓 |
二、社交工程攻擊的危害
- 個人帳號與密碼外洩
- 機敏資料被竊取或篡改
- 企業機密洩漏
- 造成系統感染惡意軟體
- 破壞企業形象與信任
三、防範社交工程的有效策略
| 策略 |
說明 |
| 使用多因素驗證(MFA) |
即使密碼外洩,仍需第二層驗證 |
| 資安意識教育 |
定期培訓員工辨識詐騙郵件與可疑行為 |
| 驗證來電身份 |
遇不明來電時確認對方身分 |
| 不隨意點擊不明連結或附件 |
避免惡意軟體入侵 |
| 針對敏感資料設置存取權限 |
僅限必要人員存取,避免資料過度曝露 |
| 使用垃圾郵件過濾與防釣魚技術 |
減少詐騙郵件進入收件箱 |
| 定期更新與修補系統 |
防止惡意軟體利用漏洞進行二次攻擊 |
四、實務小提醒
- 遇到不明郵件或電話,切勿急著回覆
- 不隨意透露個人與公司敏感資訊
- 定期參與資安訓練,提升警覺性
iThome鐵人賽
看影片追技術