什麼是社交工程？操控手法與防範策略指南

社交工程不只是間諜電影裡臥底特工才會做的事。在網路世界裡，社交工程比你想像的更常見，而你現在可能已成為別用有心之人的目標。社交工程師會利用你的信任、好奇心或恐懼感來下手，其手法隱密又具有針對性。

如果你想知道這種攻擊是如何發生的，以及該如何保護自己，請繼續閱讀。社交工程正迅速演變，要瞭解其原理才能在網路上保護自身安全。

社交工程是如何運作的

社交工程是一系列惡意行為，透過操控受害者而揭露機密資訊或執行可能危害其安全的操作。社交工程常見於駭客攻擊中，被稱為「社交工程師」的施害者透過心理操控，而非技術手段，來取得登入憑證、銀行帳號資料，甚至整個系統的存取權。

為了欺騙受害者，社交工程師會使用各種策略。常藉由偽裝身分建立信任，透過恐懼、好奇心與緊迫感操控受害者。為降低目標的戒心，社交工程師可能會冒充具有合法身分的人，譬如同事或權威人物。

六種常見社交工程攻擊手法

我們整理出六種常見的社交工程攻擊手法。請注意，這些手法常會交錯使用，許多重大攻擊案件中會同時採用其中數種方式。

1.網路釣魚

網路釣魚是最常見的社交工程手法之一，通常以偽裝成可信來源的電子郵件或訊息形式出現，內容包含惡意連結或附件。受害者與釣魚訊息互動後，攻擊者便能竊取其登入憑證、身分證字號或其他敏感資訊。

舉個例子裡說，攻擊者可能送出假冒銀行的電子郵件，要求使用者驗證其帳戶資訊。受害者點擊連結時，會被導向偽造的銀行登入頁面，進而在不知情下將個人資料交給攻擊者。

2.下餌

此類攻擊以免費媒體或軟體等誘人內容作為誘餌，吸引受害者上鉤，而誘餌則會導向用來蒐集登入資訊或財務資料的惡意網站

下餌攻擊也可以在線下進行，譬如攻擊者可能將帶有惡意程式的 USB 隨身碟遺留在公共場所，若好奇的人撿到並插進電腦，會在不知情下安裝惡意軟體。

3.假託

假託指的是透過編造故事或身分，與受害者對話以取得機密資訊。此手法常模仿具權威性的人物，譬如假冒銀行代表索取財務資料，或假冒 IT 人員以例行檢查為由要求得到系統存取權限。

假託攻擊仰賴建立信任感，並常以受害者社群資料或公開資訊做為輔助手段。

4.等價交換

等價交換攻擊透過提供某項服務或好處，換取受害者提供資訊，譬如攻擊者可能假冒技術支援人員，承諾協助解決裝置問題，條件是獲取遠端存取權。一旦取得存取權限，攻擊者便能竊取身分資料，安裝惡意程式，甚至破壞整個系統。

等價交換聽起來很像假託，但最大差異在於前者是以某種好處來換取受害者的配合。

5.魚叉網釣

魚叉網釣是更具針對性的網路釣魚手法，針對特定個人或機構量身訂製攻擊內容。駭客會事先蒐集受害者的個人資料，譬如職位或人脈，使釣魚訊息看起來更真實可信。

魚叉網釣通常針對具有高階權限的受害者，譬如主管或系統管理員，因此特別危險。

6.水坑攻擊

水坑攻擊是一種針對性攻擊，駭客會入侵特定群體常用的網站或服務。透過這種方式，駭客能潛入目標組織的系統或網路，而不需直接對組織發動攻擊。

這種手法利用受害者對常用資源的信任，讓攻擊變得更有效、更難察覺，是一種極具技巧性的社交駭客手段。

重大社交工程案例

社交工程攻擊曾導致多起重大資安事件，涉及操控、身分竊取及嚴重財務損失。以下是幾起著名案例，顯示社交工程如何成功攻破部分看似無懈可擊的組織：

2013 年 Target 資料外洩事件

這是迄今最大且最知名的社交工程事件之一。2013 年，零售巨頭 Target 遭遇資料外洩事件，超過 4,000 萬名顧客的信用卡與簽帳金融卡資訊被洩漏。攻擊者透過釣魚攻擊誘騙一家第三方廠商洩露帳號密碼，進而取得系統存取權限。駭客潛入 Target 網路後，便能在系統中無聲移動，最終取得零售端銷售系統中的支付資料。

這起事件明確顯示，攻擊者能透過社交工程手法，不只攻擊主要目標，也能利用安全機制較弱的第三方人為疏失。

2020 年 Twitter 駭客事件

2020 年 7 月，駭客成功對 Twitter 發動社交工程攻擊，入侵多個名人及企業帳號，包括馬斯克、歐巴馬與 Apple。駭客假扮成執行例行安全檢查的 IT 人員，成功誘騙 Twitter 員工交出登入憑證。然後駭客存取 Twitter 後台系統，得以重設密碼，並從藍勾勾帳號發布訊息。

這起事件證明，社交工程極具效力，能透過偽裝取得信任並利用人為疏失成功攻擊。

Google 和 Facebook 電匯詐騙案

2013 年至 2015 年間，駭客利用商業電子郵件詐騙（BEC）手法，誘使 Google 和 Facebook 匯款超過一億美元至其帳戶。駭客冒充合法供應商，向兩間公司的財務部門發送假賬單。駭客利用日常的付款流程，假借正常業務名義操作，詐騙行為長達近兩年未被察覺。

這起事件最能突顯釣魚詐騙的破壞力。只要對公司內部流程夠瞭解，攻擊者便能透過社交工程滲透到最敏感的交易環節中。

RSA 資安事件

2011 年，資安公司 RSA 因網路釣魚攻擊遭遇重大資料外洩事件。RSA 員工收到主旨為「2011 招募計畫」的郵件，附件內容為惡意軟體。僅有一位員工開啟附件，惡意程式便自動安裝，讓駭客得以遠端入侵公司內部網路。駭客接著竊取與 RSA 認證憑證相關的機密資料，波及眾多客戶。

此事件顯示，即使是最安全的公司，也可能因一次釣魚攻擊而造成嚴重資安事件，牽連廣大客戶群。

如何保護自己不受社交工程攻擊

儘管社交工程攻擊會利用人性弱點，但仍有許多方法可以降低成為受害者的風險。只要養成一些好習慣，就能大幅降低被駭的可能性。

1.驗證身分

有人要求你提供敏感資訊時，請務必仔細確認對方身分，尤其是在要求突如其來或來自非官方管道時。為了取得受害者的信任，攻擊者通常會偽裝成值得信賴的人士，譬如同事、IT 員工或服務提供者。在提供機密資訊前，請親自撥電話給對方或堅持使用可信的聯絡方式來驗證其身分。

2.小心連結與附件

社交工程師最常用的手法之一就是透過惡意網站連結或電子郵件附件欺騙受害者。要預防此類攻擊，請切勿隨意點開陌生郵件或簡訊。若收到可疑訊息，請先將滑鼠停留在網址或連結上檢視其 URL。如果網址看起來不對或與官方網站不符，最好不要點擊，以免帳號密碼被竊或裝置被植入惡意軟體。

3.使用強度高且獨特的密碼

為每個帳號使用強度高且不重複的密碼，是保護自己免於社交工程攻擊的最簡單方法之一。社交工程師可能會設法誘使你洩漏帳號密碼，但若你沒重複使用密碼，就不會令對方一次掌握你所有帳號。建議使用密碼管理工具，它可以幫你生成並儲存強密碼，無需記住每組帳號的密碼。

4.啟用雙重要素驗證（2FA）

啟用雙重要素驗證（2FA）或多重要素驗證（MFA）是另一種有效的保護帳號的方式。即使攻擊者偷走你的密碼，有啟用雙重要素驗證的話，沒有第二道驗證（譬如簡訊碼、驗證 App 或硬體憑證），對方就無法登入帳號。此措施對於包含財務資料或身分證字號的帳號尤其重要。

5.學習並熟悉社交工程手法

若想在網路上保持安全，應掌握最新的社交工程攻擊手法。網路犯罪者會不斷改良手法，因此要持續加強自己辨別釣魚詐騙、惡意網站與可疑行為的能力，從而大幅降低受騙風險。

6.警惕對你施壓的人

許多社交工程攻擊會營造緊迫感，讓你來不及思考就做出反應。不管是聲稱帳號有異常的假郵件，還是要求你立刻處理的來電，都請先冷靜判斷再行動。如果某件事感覺怪怪的或太急促，請停下來，驗證清楚再決定是否處理。

企業如何防範社交工程攻擊

雖然個人經常受到社交工程攻擊影響，但企業才是駭客的主要目標，因為企業擁有高價值的資料與系統。以下是企業可採取的一些關鍵防護策略。

1.員工訓練

定期進行資安訓練對幫助員工識別並避開社交工程手法至關重要。為了保護公司資料，每位員工都應學會辨識可疑郵件、假網站連結與釣魚攻擊。由於社交工程師常利用人為疏失，訓練內容應著重於釣魚攻擊、商業郵件詐騙，以及假託與等價交換等攻擊手法。

員工也應瞭解惡意附件和惡意軟體的風險，以及社交工程師的運作模式。

2.建立嚴格的操作流程

企業應建立嚴謹的機密資料驗證流程，尤其針對透過電子郵件或電話提出的請求，譬如對變更財務資料或存取限制資訊實施兩步驟驗證程序，從而大幅降低社交工程攻擊的成功率。

流程應要求員工對請求存取提出敏感資料的人進行身分驗證，即使看起來是合法來源也不例外。如此可避免攻擊者假冒他人取得敏感系統或資料的存取權。

3.資安稽核

定期進行資安稽核可找出組織基礎架構中的漏洞，避免被社交工程師加以利用。稽核範圍應涵蓋遠端存取規範、電子郵件與網路使用政策等各項資安措施。

企業若能掌握自身弱點，並針對關鍵系統進行背景檢查，就能加強對社交工程攻擊的防禦力。

4.使用防毒軟體與防火牆

安裝並定期更新防毒軟體可防止惡意應用程式入侵企業網路。此外，使用防火牆還可過濾來自惡意網站的流量，避免員工誤點搜尋結果或釣魚連結進入危險網站。

定期更新作業系統與軟體是防範駭客利用系統漏洞進行攻擊的必要手段。

5.為所有員工啟用多重驗證（MFA）

企業應強制所有員工帳號啟用多重要素驗證（MFA）。多重要素驗證會大大增加安全性，即使駭客取得登入資訊，沒有第二道驗證碼（譬如簡訊或硬體金鑰），也無法進入系統。

多重要素驗證對於有權存取財務資訊、關鍵系統或其他敏感資料的帳號尤其重要。

6.資料分層與權限管控

限制員工僅能存取其職務所需資料與系統，可降低社交工程攻擊造成的損害。透過資料分層與管制敏感資訊存取權限，即使員工帳號遭駭，攻擊者也無法進一步入侵整個網路或取得與該員工無關的機密資料。

此種權限控管方式可有效降低攻擊影響，避免單一員工帳號被盜造成全公司資料外洩的風險。

社交工程與技術性駭客攻擊的區別是什麼？

雖然技術性駭客攻擊在資安界更多關注，但社交工程其實是一種更隱蔽且陰險的威脅。這兩種攻擊方式都可能導致嚴重的資安事故，但其根本運作方式有所不同。

社交工程攻擊主要依賴心理操控，利用信任、恐懼、好奇或緊迫感來操縱受害者；技術性駭客攻擊則透過惡意軟體、病毒或網路漏洞等手段，取得未經授權的存取權限，可以使用防火牆、入侵偵測系統和防毒軟體來防禦這類威脅。

儘管以上措施對防範技術性入侵相當有效，卻無法保護資安鏈中最脆弱的一環——人。人類天性傾向信任，且經常無法察覺複雜的社交工程詐術，因此攻擊者能透過員工繞過即使嚴密的安全系統。這類攻擊所需的技術門檻相對較低，使得入侵的難度也隨之降低。

保持警惕：社交工程不會消失

我們已探討社交工程的運作方式，以及它為何是網路犯罪者手中強大的武器。你現在應該已瞭解攻擊者如何操縱人類行為，也能辨識其用來取得敏感資訊的各種手法，但要保護資訊安全，靠這些還不夠。

隨著網路犯罪者結合人工智慧與深偽技術，未來的社交工程將變得更加複雜與難以防範。請保持警覺，對突如其來的請求提出質疑，謹防在網路上洩漏機密資料。

Surfshark 的全方位數位安全套件此時便能派上用場。Surfshark 提供強大的 VPN、資料外洩警示、Antivirus 防毒軟體與其他先進隱私工具，助你應對網路威脅。社交工程正在進化，你的防禦也該同步升級。保持警惕，別讓駭客趁虛而入。

即刻阻止社交工程攻擊

Surfshark One 提供保護數位安全所需的一切工具

取得 Surfshark