社交工程(Social Engineering)指的是利用人性弱點來取得系統或資料存取權的攻擊手法。
與技術攻擊不同,社交工程不靠漏洞,而是靠心理操控。
| 攻擊類型 | 手法說明 | 範例 |
|---|---|---|
| Phishing(釣魚信) | 以假冒網站、郵件誘導使用者輸入帳密 | 假冒銀行「帳號異常」通知 |
| Vishing(語音詐騙) | 假冒客服或政府單位進行電話詐騙 | 偽裝稅務局來電要求驗證身份 |
| Smishing(簡訊釣魚) | 以簡訊傳送惡意連結或 QR Code | 偽造包裹通知連結 |
| Pretexting(假名攻擊) | 假冒主管或同事索取資料 | 「我是IT部門,請提供你的登入代碼」 |
| Baiting(誘餌攻擊) | 以免費下載、USB、優惠引誘使用者點擊 | 免費電影下載、U盤中毒 |
根據 Verizon DBIR 報告(2024):
結論:
社交工程不是少數人的問題,而是所有使用者的共同風險。
因此訓練應該是制度化、模擬化、數據化的。
[Level 1] 資安意識教育(Awareness)
[Level 2] 模擬釣魚演練(Simulation)
[Level 3] 行為分析與回饋(Behavior Feedback)
yaml
複製程式碼
| 題材 | 說明 |
|---|---|
| 郵件主旨比對訓練 | 比較真假郵件(字體、網址、語氣) |
| 假冒內部信件警示 | 展示如何辨識「主管指令詐騙」 |
| 密碼管理課程 | 使用 Password Manager、避免重複密碼 |
| 工具名稱 | 功能 | 備註 |
|---|---|---|
| Gophish | 自架開源釣魚演練平台 | 可客製郵件與登入頁面 |
| PhishInsight (Trend Micro) | 雲端釣魚演練服務 | 企業級方案 |
| KnowBe4 | 付費教育平台 | 附訓練內容與報告 |
o
docker run -d -p 3333:3333 -p 8080:80 gophish/gophish
登入管理介面(預設 port 3333);
建立「電子郵件範本」與「目標清單」;
觀察使用者開信、點擊率;
自動寄送「訓練回饋信」教學正確反應。
教育導向設計原則:
不以懲罰為目的,而是「學習型測試」;
每次演練後應立即提供「安全行為回饋報告」。
六、Level 3:行為分析與回饋(Behavior Feedback)
目標:
追蹤學員(員工或使用者)在演練後的安全行為改善程度。
監測項目:
指標 說明 評估方法
點擊率下降比例 釣魚信點擊率下降幅度 每季比較
回報率提升 主動回報可疑郵件次數 統計郵件數據
反應時間 從開信到回報的平均時間 模擬平台紀錄
可視化儀表板延伸(可結合 Day 22):
在 Streamlit 或 Grafana 新增「安全行為追蹤」面板;
動態顯示訓練後點擊率與回報率曲線。
七、防範心理學重點(Security Psychology)
避免羞辱式訓練:若員工因誤點連結被公開批評,將產生反效果。
設計正向回饋機制:表揚主動回報者。
以情境為主導:模擬真實但無害的環境,如假銀行信、假公司公告。
週期性再訓練:人類記憶會衰退,建議每 3–6 個月再演練一次。
八、技術輔助與自動化
若結合防詐系統(Day 15–23),可新增以下功能:
Phishing Simulation 模組:自動寄送假信測試反應。
User Risk Scoring:根據使用者行為建立「安全風險分數」。
通知整合:若使用者點擊釣魚信,系統自動通知教育模組派發課程。
範例(偵測點擊行為):
python
複製程式碼
def handle_click_event(user_email):
record_click(user_email)
if get_user_click_count(user_email) > 2:
assign_training(user_email, "Phishing Awareness Level 1")
九、教育回饋報告範例
員工姓名 點擊率 回報率 近期測試等級 建議行動
王小明 20% 80% Level 2 進階訓練
陳佳恩 0% 100% Level 3 表揚通報
林彥廷 70% 10% Level 1 加強基礎訓練
報告可自動生成並寄送主管與員工本人。
十、後續(Day 26 預告)
Day 26 將進入「勒索軟體攻擊趨勢與案例分析(Ransomware Trends & Cases)」,
探討當代最具破壞性的攻擊型態之一,
從攻擊流程、金流運作、組織防禦策略三個面向全面解析。
iThome鐵人賽
看影片追技術