在社交工程的眾多形式中，釣魚攻擊（Phishing） 是最常見且破壞力極大的手法之一。根據多數資安報告，全球發生的資料外洩事件中，有相當比例與釣魚郵件或訊息有直接關聯。攻擊者藉由偽裝成可信任來源，引誘使用者點擊惡意連結或提供敏感資訊。

⸻

一、釣魚攻擊的常見型態
1. 電子郵件釣魚（Email Phishing）
攻擊者發送看似來自銀行、電商或政府機關的電子郵件，要求使用者登入「驗證」帳號。實際上，連結導向的是偽造網站。
2. 魚叉式釣魚（Spear Phishing）
攻擊對象明確，攻擊者會蒐集受害者背景資料（例如職位、同事關係），編寫極具說服力的訊息，增加受害機率。
3. 語音釣魚（Vishing）
假冒銀行或客服人員，以電話方式要求提供信用卡號碼、驗證碼等敏感資訊。
4. SMS 釣魚（Smishing）
利用簡訊傳送釣魚連結，例如「包裹未領取，請立即點擊補登資料」。
5. 商務郵件入侵（Business Email Compromise, BEC）
攻擊者冒充公司高層，要求員工匯款或提供財務資料，對企業財務影響特別嚴重。

⸻

二、釣魚攻擊的特徵
• 緊急感：內容常出現「立即處理」、「帳號即將停權」等字眼。
• 不尋常的寄件人地址：信件可能來自看似相似但實際不同的網域（如 paypaI.com，最後一個字母是大寫 I 而非小寫 l）。
• 異常的連結：表面上顯示合法網址，實際超連結導向其他網站。
• 附件檔案：包含惡意程式的 PDF、Excel 或壓縮檔。

⸻

三、防範方法
1. 個人層面
• 保持警覺：不要隨意點擊來路不明的連結或附件。
• 檢查網址與寄件人：仔細確認域名是否正確。
• 多因子驗證（MFA）：即使帳號密碼外洩，仍有額外保護。
• 善用防釣魚工具：啟用郵件系統與瀏覽器內建的防護功能。
2. 企業層面
• 員工教育與模擬演練：定期進行反釣魚訓練，提高識別能力。
• 郵件過濾與沙箱分析：在進入信箱前過濾惡意郵件。
• DMARC、SPF、DKIM：強化郵件驗證，降低偽冒風險。
• 事件回報機制：讓員工能快速通報可疑郵件。

⸻

四、結語

釣魚攻擊的關鍵在於利用人性弱點，而非技術漏洞。即使再強的防護系統，也無法完全阻止使用者點擊錯誤連結。真正有效的防範方式，必須結合 技術手段 與 人員意識。