文章

什麼是社交工程?

社交工程的定義

社交工程(Social Engineering)是一個總稱,用來描述利用心理操控做為實施惡意活動的攻擊向量(Attack Vector)。在社交工程攻擊中,攻擊者透過詐騙手法誘使個人違反自身或組織的安全規範,以協助其犯罪活動。

社交工程針對並利用人為錯誤、信任或弱點,而不是試圖規避網路安全系統。因此,它有時也被稱為人性駭客攻擊。

社交工程會改變毫無戒心者原本合乎邏輯的決策實務,導致他們做出通常不會做的事情。

網路犯罪者深知,一封精心設計的電子郵件、語音訊息或簡訊,足以說服人們去做以下行為:

  • 允許控制電腦系統
  • 點擊惡意連結或開啟會安裝惡意軟體(Malware)的惡意檔案
  • 轉帳
  • 分享機密或個人資訊(例如登入認證、銀行帳號、信用卡號、身份證號碼)

社交工程攻擊往往只是大型網路攻擊(Cyber Attack)的第一階段。網路犯罪者利用社交工程手法取得系統存取權,接著釋放惡意軟體或勒索軟體(Ransomware),或入侵系統竊取敏感資訊。

社交工程如何運作

社交工程攻擊通常可以分為四個步驟。

步驟一:進行調查以準備攻擊

社交工程攻擊通常從調查階段開始。網路犯罪者深知,社交工程的成效取決於與受害者的聯繫。因此,在攻擊的調查階段,他們會花時間研究如何以最佳方式與受害者互動,包括:

  • 透過網路調查或翻找垃圾來蒐集目標或組織的背景資訊
  • 辨識可被利用的事件或擔憂,例如報稅截止日、節慶假期或健康危機
  • 判斷最適合的社交工程攻擊手法
  • 制定有針對性的策略

步驟二:透過騙受害者並取得立足點來設下陷阱

一旦攻擊計畫就緒,社交工程攻擊便會正式展開。執行攻擊的人會偽裝成合法身份,與受害者互動並建立信任。在設下陷阱的階段,會被完整鋪陳社交工程攻擊劇本,並取得初步據點,例如下載並安裝惡意軟體,或誘使受害者採取特定行動。

社交工程攻擊在設下陷阱階段的關鍵要素是:

  • 掌控並引導互動過程
  • 與目標互動並取得其信任
  • 編造一個虛假但看似合理的故事
  • 取得受害者的信任
  • 透過恐懼、同情或無知來驅使目標採取行動

步驟三:採取行動以達成目標

當陷阱設定完成後,社交工程攻擊會在時機成熟時收網。社交工程的目的非常多種,包括:

  • 存取並外洩敏感資訊
  • 說服目標對象匯款
  • 破壞網路運作
  • 透過在網路中橫向移動來擴大立足點
  • 取得關鍵資源的存取權限
  • 修改系統以便日後重新存取

步驟四:結束交流互動以結束詐騙行動

社群媒體工程的最後階段是退出,理想情況下(對攻擊者而言)是在不引起懷疑的情況下完成執行的。成功的退出不會留下任何痕跡。

社群媒體攻擊的退出步驟的要素包括:

  • 掩蓋痕跡
  • 讓關係自然結束,或恐嚇受害者使其保持沉默
  • 移除所有惡意軟體的痕跡

社交工程攻擊技術

以下是幾種用於入侵企業 IT 系統的社交工程技術。

誘餌攻擊

在誘餌式攻擊中,攻擊者會向目標個人提出虛假的承諾,以引誘他們落入陷阱。最常見的誘餌手法是將 USB 隨身碟策略性地放置在某些地點,當毫無戒心的使用者將其插入電腦時,惡意軟體便會散播。其他誘餌方式則包括承諾獎勵、免費贈品或特別優惠,以誘使目標分享資訊或點擊惡意連結。

商業電子郵件入侵

商業電子郵件入侵 (business email compromise, BEC) 是指攻擊者利用高階主管(例如 CEO 或 CFO)的電子郵件,誘騙他人交出攻擊目標,通常是敏感資訊、金錢或其他有價資產。

網路釣魚

網路釣魚(Phishing)是主要的惡意軟體感染向量,它是一種被廣泛使用的社交工程技術,並且可透過多種方式執行。無論是哪種類型的釣魚攻擊,其結果通常都相同:個人在毫無察覺的情況下洩露敏感資訊或下載惡意軟體。

大量電子郵件網路釣魚

大量網路釣魚電子郵件會傳送給眾多收件人,通常偽裝成來自知名且可信賴的企業或機構(例如銀行、網路商店或電信公司)。這些郵件會刻意模仿該機構的品牌設計,內容也經過精心撰寫,讓使用者誤以為是合法的請求。

然而,寄件者的請求會導致使用者發生安全漏洞,例如,在更新信用卡資訊的要求下提供信用卡資料,或為了更新網路商店帳戶而分享銀行帳戶資訊。

簡訊服務 (Short message service, SMS) 網路釣魚,又稱簡訊釣魚

簡訊網路釣魚,又稱簡訊釣魚,是透過簡訊進行的網路釣魚。

魚叉式網路釣魚

魚叉式網路釣魚攻擊是一種經過充分研究的網路釣魚攻擊,專門針對特定個人或組織。這類訊息會利用與目標相關的細節,使電子郵件看起來更具真實性。

語音釣魚

語音釣魚是一種社交工程手法,攻擊者會透過語音留言製造緊張或恐懼感,誘使受害者落入圈套。

冒名攻擊

冒名是指社交工程攻擊者冒充受信任的重要實體對象,例如銀行、公共事業機構或醫療代表,以引導目標落入陷阱。

交換條件

互惠式社交工程詐騙透過承諾交換條件來誘騙目標,例如告訴某人他們中了獎,並要求其提供個人資訊以領取獎品。

恐嚇軟體

恐嚇軟體讓使用者誤以為系統出了問題。它會向使用者傳送威脅訊息,聲稱存在某些問題,並表示唯一的解決方式是填寫表單,而該表單要求提供個人資訊或其他敏感資料。

尾隨闖入

尾隨闖入 (Tailgating),又稱為搭便車式闖入 (piggybacking),是一種實體社交工程攻擊手法。未經授權的個人會假藉各種理由,跟隨已授權的員工進入限制區域,例如聲稱要領取特殊快遞、表示遺失門禁卡,或因手上拿滿物品無法自行開門。

水坑攻擊

水坑攻擊一詞源自「毒害水源地」的概念。對使用者而言,這種攻擊方式是指攻擊者建立造假的網站,以吸引使用者造訪帶有惡意軟體的網站,或感染已知目標群體造訪的現有網站。

社交工程攻擊的特徵

社交工程的基礎在於找出個人的弱點並利用其情緒加以操控。以下是社交工程攻擊的常見特徵,以及它們如何將情緒作為武器來使用。

利用好奇心

網路犯罪者會密切關注時事,尋找切入點來誘騙人們落入社交工程的陷阱。例如,他們可能利用最新的新聞頭條,編造相關訊息並加入吸引人的細節,勾起目標對象的好奇心,進而回覆訊息以瞭解更多內容。

操弄恐懼情緒

社交工程利用人們對恐懼的敏感性,尤其是對權威機構(例如美國國稅局或聯邦調查局)的畏懼心理。

以恐懼為基礎的手法通常涉及社交工程攻擊者假扮成正在調查案件的 FBI 探員,或是跟進報稅事宜的 IRS 代表,以此聯絡目標。

社交工程詐騙也會利用受害者對錯失機會的恐懼 (fear of missing out, FOMO) 情緒,以營造緊迫感。

利用貪婪或絕望心理

社交工程手法常利用人們對優惠或免費贈品的渴望與需求(即貪婪或絕望)來誘騙受害者。他們會提出小額投資換取高額回報,或以極低價格販售高端商品等誘人提案,藉此引導人們匯款、提供銀行帳戶資訊或信用卡資料。

利用他人的好心幫忙

大多數人天生就傾向於幫助有需要的人。人類渴望彼此信任並互相幫助。

社交工程攻擊正是利用這種傾向,誘使人們陷入危險情境,例如因為「IT 緊急情況」而分享認證、向「發生意外」的親人匯款,或為了「幫朋友填問卷」而點擊惡意連結。這些手法通常會營造一種緊迫感,促使個人迅速採取行動,進而失去冷靜思考風險的時間。

防止社交工程攻擊

社交工程攻擊極難防範,因為它們利用人類與生俱來的弱點,而這些弱點遠比網路安全技術更難以透過程式加以防護。網路安全專家建議採取以下策略,以提升使用者的警覺性並抵抗社交工程攻擊。

存取控制原則

所有 IT 資源的存取都可以透過存取控制系統來保護。除了驗證系統之外,存取權限應遵循最小權限原則(PoLP , Principle of Least Privilege),僅授予執行任務所需的最低限度權限。

停用自動執行

應停用使用者系統中的自動執行功能,以在粗心使用者與透過社交工程攻擊傳送的惡意軟體之間設下一道防線。

備份

所有系統和資料都應定期自動備份。備份應儲存在異地,並與主網路隔離。由於許多社交工程攻擊最終可能導致勒索軟體(Ransomware)攻擊,企業必須確保備份資料在使用者系統遭到入侵時仍無法被存取。

網路安全技術

能夠防禦社交工程攻擊的網路安全解決方案包括:

  • 防毒軟體
  • 端點偵測與回應 (EDR , Endpoint Detection and Response)
  • 擴展偵測與回應 (XDR , Extended Detection and Response)
  • 防火牆
  • 入侵偵測系統
  • 入侵防禦系統
  • 安全電子郵件閘道
  • 垃圾郵件過濾器

電子郵件防範觀念

使用者需要高度警惕來自未知寄件者的電子郵件。

應對使用者進行訓練,使其絕不開啟來自可疑來源的電子郵件與附件;對「可疑」的定義與辨識應該定期更新並加強。

社交工程攻擊者常會利用合法電子郵件來傳送惡意裝載。使用者也應接受訓練,學習辨識那些偽裝成合法發件人的可疑郵件。當有疑慮時,應主動向疑似發件人確認訊息的真實性。

多因子驗證 (Multi-factor authentication, MFA)

MFA 提供的額外保護層,可防止網路犯罪者利用認證取得存取權限。社交工程手段通常會試圖取得使用者的認證。

螢幕鎖定

螢幕應設定為短時間無操作後自動鎖定,以防止有人趁螢幕未鎖定時取得系統存取權限,進而進行社交工程攻擊。使用者也應接受訓練,在離開座位時手動鎖定螢幕,尤其是桌上型電腦與筆記型電腦。

螢幕解鎖應要求使用者透過某種驗證方式進行驗證,例如個人身分識別碼 (PIN)、密碼,或生物辨識技術(如指紋或臉部辨識)。

安全觀念訓練

定期的安全意識訓練應始終包含針對社交工程的課程內容。這為使用者提供必要的指引,協助他們識別並避免攻擊,以及如何偵測和應對正在進行中的攻擊(例如,如何通報可能的社交工程攻擊)。社交工程訓練應詳細並解釋具體細節,例如網路犯罪者如何利用看似平凡的資料(例如生日或電話號碼)來發動攻擊。

社群媒體與網路個人資訊的安全維護

安全維護的一部分,應該是讓使用者瞭解社交工程手法如何利用社群媒體來鎖定目標進行攻擊。社交工程攻擊者會在網路與社群平台上搜尋資訊,以進行魚叉式網路釣魚攻擊。使用者發布的資訊越多,就越容易成為社交工程攻擊的素材來源。

軟體更新

保持軟體更新是網路安全的最佳實務。保持防毒和防惡意軟體的更新尤其重要。

專家建議的做法包括設定自動更新,以及每日下載最新的病毒定義檔。應定期檢查使用者的系統,以確保更新已正確套用,並掃描是否有潛在的感染。

USB 裝置警告

就像過去的 CD-ROM,USB 隨身碟仍然是非常有效的社交工程攻擊向量(Attack Vector)。應教育使用者,即使是為了使硬體(例如攝影機或鍵盤)正常運作而在網路上購買的 USB 隨身碟,也可能危及資料、應用程式與整個網路的安全。

社交工程攻擊會利用最薄弱的一環

社交工程被網路犯罪者廣泛使用,因為它是一種極為有效的手段,能繞過複雜且繁瑣的網路安全系統(例如防毒軟體、防火牆、入侵偵測系統與入侵防禦系統),使他們能夠存取受保護的系統。與這些網路安全系統相比,人更容易成為攻擊目標。事實上,人被普遍認為是組織網路安全中最薄弱的一環。

此外,社交工程攻擊利潤豐厚。網路犯罪者利用社交工程進行攻擊的投資報酬率非常高。對組織造成的損失往往更為嚴重(例如,財務損失、資料外洩(Data Breach) 導致敏感資訊遺失或遭到竄改,以及法律與法規遵循方面的後果)。為了有效防範社交工程攻擊,定期進行完善的安全訓練至關重要。

日期: 2025年11月4日閱讀時間:4 分鐘
網路安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們