📌 壞人不是只用電腦，他們也會用「說故事」騙你做事

可能裝成銀行、老師或快遞，叫你點一個連結、輸入密碼或插 USB

常見手法

• Phishing（釣魚郵件）：偽造發件人、誘導點擊含惡意鏈結或附件，目標蒐集憑證或植入惡意軟體。
• Vishing（語音釣魚）：電話詐騙，利用社會信任或緊急情境取得敏感資訊。
• Smishing（SMS 釣魚）：透過簡訊誘導點擊或回覆。
• Pretexting（偽裝情境）：偽造合理故事（例如 IT 支援）取得信任後索取權限。

攻擊流程

📌 偵查（資訊蒐集）→ 建立信任（偽裝、個資引用）→ 發動誘餌（郵件/電話/實體）→ 收割（憑證/存取）→ 利用（資料外洩）→ 清理痕跡(日誌)

1. 偵察
   • 做法：蒐集目標公開資訊（公司官網、員工郵箱、公開文件、會議資訊）
   • 察覺：大量對外查詢某員工、異常對外資訊抓取行為（web crawler logs）

2. 建構目標
   • 做法：彙整受害者職務、主管關係，找出可利用的弱點（常用服務、第三方廠商）
   • 察覺：針對同一個目標反覆查詢不同來源

3. 設計情境
   • 做法：撰寫可信的故事或偽裝身分（IT 支援、客戶、供應商），準備社交工程用話術與腳本
   • 察覺：可疑來電/郵件內容包含非典型要求（索取憑證/OTP）、用詞過於緊迫或情緒化

4. 製作誘餌
   • 做法：建立釣魚郵件、偽造登入頁、惡意附件或惡意 USB，或準備語音腳本
   • 察覺：郵件標題群發、可疑 URL、附件為可執行或壓縮檔、含短鏈接

5. 傳遞
   • 做法：透過 Email、SMS、社群訊息、電話或實體媒介（USB）將誘餌送出
   • 察覺：短時間大量外發郵件、特定員工收多封類似郵件、異常外部簡訊報告

6. 利用與取得
   • 做法：受害者點擊連結或輸入憑證，或插入惡意 USB，攻擊者獲得帳密或植入惡意程式
   • 察覺：異常登入（地理/時間/裝置）、多次錯誤密碼嘗試、未知裝置安裝新軟體

7. 提升權限
   • 做法：用竊得的憑證橫向移動、搜尋高權限帳號、利用系統弱點升級權限
   • 察覺：非典型的 SMB/NFS 存取、從不常用主機發起管理操作、敏感資料搜尋行為

8. 資料外洩
   • 做法：打包敏感資料並上傳到外部伺服器、或利用內部資源完成財務詐騙
   • 察覺：大量檔案傳出、非商業時間的外部連線、加密流量突增、異常 DNS 查詢

9. 清理痕跡
   • 做法：建立後門以便日後存取，或刪除日誌以隱藏痕跡
   • 察覺：排程任務被新增、日誌缺失或異常刪除行為

實際案例

2025年，英國零售商Marks & Spencer（M&S）與Co-op的IT系統遭駭客滲透。駭客利用社會工程手法，欺騙客服人員重設密碼，並可能透過SIM交換技術獲取安全碼。此次攻擊導致員工憑證被竊取，並造成配送中斷、產品短缺和線上訂單暫停

• 取自https://www.taitra.org.tw/News_Content.aspx?n=104&s=114549

結論

📌 社會工程攻擊利用人性弱點而非技術漏洞

從偵察、建立信任到取得憑證或資料

實際案例顯示，即便企業部署技術防護

若員工缺乏資安意識或驗證流程不嚴謹

仍可能造成重大損失