今天進入一個非常現實、卻最常被忽略的主題——社交工程。
這類攻擊不是靠技術突破，而是靠「騙人」。換句話說，駭客不一定入侵你的電腦，而是入侵你的信任。

一、什麼是社交工程？

社交工程（Social Engineering）指的是透過心理操弄、誘導行為或假冒身分，讓目標主動洩漏資訊或執行特定動作的攻擊手法。
與傳統駭客不同，這類攻擊往往從「對人」下手，而非對系統。

二、常見的攻擊形式

三、社交工程為什麼有效？

1. 人性弱點：信任權威、怕麻煩、想要優惠、急於處理問題。
2. 心理壓力：攻擊者常設定「時效性」與「恐懼感」（例如限時登入、不即時處理會鎖帳）。
3. 資訊過載：每天收太多郵件、通知、工作訊息，容易分心或未核實來源。
4. 過度分享：社群媒體讓攻擊者更容易蒐集背景資料，用來製造「可信的情境」。

四、防範與應對方式

• 三確認原則：任何要求個資或帳密的訊息，都先確認「寄件人身分、網址來源、內容合理性」。
• 勿點擊不明連結或附件：即使寄件者看起來可信，也要多驗證一次。
• 雙重驗證（2FA）：即使密碼外洩，也能擋下大部分帳號盜用。
• 教育訓練：讓團隊成員知道常見詐騙模式（例如釣魚信模擬測試）。
• 保留證據與通報：若懷疑遭釣魚，立即截圖與回報 IT 安全部門。

五、真實案例

某大型企業員工收到假冒 IT 部門的郵件，內容附上「VPN 更新連結」，點入後輸入帳密。攻擊者利用該帳號在深夜登入內部伺服器，下載大量資料。
整起事件沒有任何技術入侵，只靠一封郵件。

小結

社交工程的本質是「利用人性漏洞」而非「技術漏洞」。再強的防火牆，也擋不住一個輕信的點擊。真正的資安意識，從懷疑與驗證開始。