在弓箭手村的資安修練第 28 天，在資安的世界裡，最脆弱的環節往往不是系統，而是人。今天的修練任務，就是強化弓箭手村每位村民的資安意識，從「知道有風險」到「懂得應對」，再到「成為資安專家」，一步步建立起人性的防線。
但光有訓練還不夠，還要提防那些不靠技術、只靠「騙術」的攻擊——社交工程。從釣魚信件、肩膀偷看、尾隨，到語音釣魚、簡訊釣魚、魚叉式釣魚，甚至是針對高階主管的網路捕鯨，攻擊者利用人性的弱點，讓人不知不覺就把防線打開。
今天的任務，就是讓我們不只是懂技術，更懂人性，成為真正能守住資安防線的戰士。準備好面對最狡猾的敵人了嗎？讓我們一起修練「人性防禦術」！

• 在資安領域裡，光靠技術是不夠的，人的行為也是關鍵，這就是為什麼「安全教育訓練」這一塊這麼重要，它通常分成三個層次：認知/意識（Awareness）、訓練（Training）、教育（Education）。

1. 安全教育訓練

• 認知/意識 (Awareness)
  • 目的是讓員工知道資安風險的存在，讓他們有警覺心，知道哪些行為可能會導致資安事件。
  • 公司可能會透過下列方式幫助員工建立基本的安全意識。
    • 簡報或短影片介紹常見的資安威脅
    • 張貼海報提醒大家不要隨便點擊不明連結
    • 分享資安新聞或案例，讓大家了解真實世界的攻擊手法
    • 安排資安講座或邀請專家演講
• 訓練 (Training)
  • 訓練則是更進一步，讓員工學會具體的技能，能夠在面對資安事件時做出正確的反應。
    • 教大家如何辨識釣魚信件（Phishing）
    • 如何設定強密碼並定期更換
    • 如何安全地處理敏感資料（像是加密、分類、刪除）
• 教育 (Education)
  • 通常是針對資安專業人員或是有志於資安領域的人，這部分的目標是提升整體組織的資安專業能力，讓有能力的人可以設計、管理、維護整個資安架構。
    • 修讀資安相關課程
    • 取得專業證照（像是 ISC2 CC、CISSP、CEH 等）
    • 參加學位課程或研究所

2. 社交工程

• 社交工程不是靠技術，而是靠騙術來攻擊的手法，攻擊者會利用人性的弱點，像是信任、好奇心、恐懼或急迫感，誘使目標做出不該做的事。
• 社交工程的可怕之處在於，他不需要破解系統，只需要你相信對方，就可能讓攻擊者輕易取得存取權限或敏感資料。
  • 釣魚信件（Phishing）：偽裝成銀行、公司或朋友寄來的信件，誘使你點擊惡意連結或輸入帳號密碼。
  • 肩膀偷看（Shoulder Surfing）：在你輸入密碼時偷看螢幕或鍵盤。
  • 尾隨（Tailgating）：假裝是員工，跟在你後面進入門禁區域。
  • 語音釣魚（Vishing）：透過電話來進行，攻擊者會假裝自己是銀行客服、政府機關、技術支援人員等，看起來像是合法單位的人。
  • 簡訊釣魚（Smishing）：透過簡訊來進行，你可能會收到一封看起來像是銀行、快遞公司或政府機關發來的簡訊，裡面會附上一個連結或要求你回覆敏感資訊。
  • 魚叉式釣魚（Spear Phishing）：攻擊者會事先蒐集你的背景資料，針對特定個人或組織下手，高度客製化。
  • 網路捕鯨（Whaling）：針對高階主管（像是 CEO、CFO），這些人通常掌握公司最敏感的資料或資金權限，所以攻擊者會花更多時間設計一封非常精緻、可信度極高的信件。