在眾多資安威脅中，社交工程（Social Engineering） 是最難防範的一種。不同於技術層面的入侵，社交工程利用的是「人性」──好奇心、信任感、恐懼或貪婪。這種攻擊往往繞過技術防護，直接鎖定使用者本身。

以下是幾種常見的社交工程案例：
1. 釣魚攻擊（Phishing）
攻擊者偽裝成合法機構（例如銀行、電商平台），發送帶有惡意連結或附件的電子郵件，誘使用戶輸入帳號密碼或下載惡意程式。
案例：用戶收到「您的帳號將被停權，請立即驗證」的信件，結果在假網站上輸入了真實的登入資訊。

2.	假冒身分（Pretexting）

攻擊者假裝是公司內部的 IT 支援、客服人員，藉由「幫忙解決問題」的理由，要求用戶提供敏感資料或操作電腦。
案例：員工接到「技術部門」來電，對方要求提供 VPN 帳號以進行維護，結果造成憑證外洩。

3.	誘餌攻擊（Baiting）

攻擊者提供看似有用或有吸引力的資源（例如免費軟體、USB 隨身碟），引誘受害者主動安裝或使用，進而中毒或被竊取資料。
案例：黑客在公司停車場散布免費 USB，員工插入後觸發木馬程式。

4.	恐嚇手法（Scareware）

透過恐懼心理讓使用者採取錯誤行動。
案例：假冒的防毒軟體彈出警告「您的電腦已被 50 個病毒感染」，要求立即付費清除，否則資料將被刪除。

⸻

社交工程的本質在於操縱人心。 即使擁有再強大的防火牆與加密技術，只要人員缺乏資安意識，就可能成為突破口。

因此，企業與個人除了建立技術防護，更需要持續進行資安教育，透過模擬演練、實際案例分析，提高對可疑訊息與行為的警覺性。