社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

2025/02/04

社交工程是什麼？常見的社交工程的運作手法是利用人類心理的弱點，通過各種手段來獲取敏感資訊或進行詐騙，那被攻擊該如何防範？。本文將介紹社交工程是什麼，有助於提升警覺性，進一步保護個人及組織的財產及安全。

社交工程是什麼？

社交工程（Social Engineering）是一種欺騙手法，主要透過操縱人性的弱點，誘拐目標對象主動上當，進而獲取敏感資訊或造成安全性疑慮。因為當人類面對觸發事件，在情緒產生波動時，譬如害怕、好奇、憤怒、興奮、犯罪等，更容易採取非理性或冒險的行為。

社交工程之所以特別危險、容易成功，全是基於人為錯誤，因為當人們主動掉進陷阱時，願意進行錯誤操作，就能躲過安全防護系統的辨識。

社交工程的進行方式不侷限於網路上，也可以是在現實中發生，例如穿著相似且專業的工作服裝，假冒成警察或官方維修人員，要求用戶出示證件或給予個資進行確認，如果當下誤判輕信，就會任憑自己聽從對方指示，被騙取機密資料，甚至造成財務或權利上的損失。

而網路上的社交工程攻擊，更是層出不窮，手法千變萬化，其主要攻擊目的如下：

- 竊取目標對象的資料或敏感訊息，進一步利用或使其造成損失。

- 破壞目標資料，或造成傷害及不方便等，各種不正當的目的。

常見5大社交工程攻擊手法

1. 釣魚攻擊（Phishing）
釣魚攻擊通常更具有針對性，特定對象可能是符合條件的個人或組織企業。會根據受害者的特性、職務或需求習慣，客製化訂製假訊息，將攻擊行動包裝得很合理、看起來可信，即使任務成功也不容易被發現有問題。
但釣魚攻擊需要付出更多的心力和時間，有可能要花費數週或數個月潛入受害者的生活。例如模擬寄發電子報、或網路垃圾郵件等。以釣魚行動中，更高竿的魚叉式攻擊為例：
有可能會冒充公司跨部門的資安顧問，向一名或多名員工發送電子郵件，無論是措辭或信件內容都與正常的工作窗口一致，讓員工誤以為這是一封源自於公司內部的真實信件，內容可能是提供超連結並要求定期更改密碼，藉由點擊連結到外部頁面，獲取資訊或進行惡意攻擊。

2. 下餌攻擊（Baiting）
顧名思義就是設下誘餌，利用虛假不實的承諾或誘因，激起受害人貪婪的慾望或好奇心，使他們落入陷阱當中，成功竊取資料或讓系統裝置遭受惡意軟體攻擊。
通常誘餌都會以物理方式進行散播，製作成容易輕信或產生好奇的物品，例如：
o 在公司出入口或停車場的顯眼處，假裝掉落的機密隨身碟，誘使被害人插入自己的設備。
o 在電梯或公告欄趁機張貼假有消息連結的公告單，誘使被害人連結並留下資料。
o 在車玻璃上夾放看起來正常的廣告單和優惠辦法，誘使被害人掃描連結到網頁。

3. 等價交換攻擊（Quid pro quo）
主動提供一些獎勵、贈品或補償，促使受害者願意接受行動，是一種價值交換的行為，但最終不會實際取得報酬。
常見的等價交換攻擊，例如行銷廣告或個人學術研究的問卷調查表，宣稱幫忙完整填寫資料，可以獲得抽獎機會，或是可以得到禮卷一張等，因為不需要投入太多成本，通常受害人都願意嘗試看看。

4. 尾隨入侵攻擊（Tailgating 或 Piggybacking）
常出現在實際生活中，對方會尾隨緊跟著被害人，在進入限制性區域時，例如社區大門或必須有感應卡的電梯時，通常受害人基於社交禮儀的關係，允許並願意讓身後的人一同進入空間當中，即使是陌生人。

5. 假托攻擊（Pretexting Attacks）
通常需要偽造身分或編造虛擬的故事，以博得受害者的信任。例如冒充供應商或合作廠商的工作人員，進入公司內部並進行互動，進一步取得信任後，可向員工取得機密資料或財物。

社交工程攻擊3個防範措施
社交工程攻擊有許多種形式，可以透過下列防範措施，達到防預目的：

1. 建立識別能力
如果發現攻擊模式及內容有以下跡象，都應該視為危險徵兆：
o 內容顯示較為緊急突發，利用時間性逼迫受害人無暇深思考慮。
o 內容有許多語法錯誤，或錯字，有可能是非本國籍利用翻譯軟體產生的內容。
o 在訊息中附上超連結，並要求點擊打開或下載檔案。
o 對方身分是完全不認識的陌生人，或者他可以證明自己的身分嗎？
o 內容是否太美好、太難以置信？天下沒有白吃的午餐才對。

2. 加強安全意識
如果是公司組織內部，應定期宣導並教育訓練關於最新資安守則及攻擊範例，讓員工在遭受正式社交工程攻擊前，能先有防範意識及概念。
也可以安排實際模擬演練，觀察員工面對事件時的處置方式，甚至已知許多大型企業已將演練成果列入考察分數當中，強迫員工正視安全性問題。

3. 管理帳戶及訓練使用習慣
如果在生活或工作中，必須常常依賴檔案傳輸或網路交流時，更需要刻意練習良好的習慣，徹底落實在作業當中，並時時保持警覺性，建議的作法如下：
- 不隨意點擊電子郵件或訊息中的連結，即便是認識的對象，最好也要先做到溝通確認。
- 定期將裝置中程式或系統更新到最新版本，透過官方的安全性修復，減少駭客攻擊漏洞。
- 定期更換帳戶的使用密碼，也應避免隨意外洩，也建議使用多重身分驗證（MFA）機制。
- 避免在公開社群洩漏太多個人訊息，例如車牌號碼、生日、手機號碼、地址等。
- 對於非現實中的友人，網路交友應謹慎小心，應有防人之心。
社交工程的攻擊與威脅無所不在，但是只要透過提高安全性認知，並且採取適當的防範措施，無論是公司企業還是個人，了解社交工程的手法和防範技巧都是必要的，可以有效減少成為攻擊目標的風險。

產業訊息

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！