社交工程是什麼？

簡單來說，社交工程是利用人性弱點竊取敏感資料的手法。社交工程經常透過人們的信任和貪婪進行詐騙。有時候，駭客甚至不需使用程式碼或惡意軟體，就能進行社交工程攻擊。

網路釣魚是駭客利用電子郵件假冒他人，他們通常會假裝是銀行、政府單位或任何值得信任的機構。他們希望您能打開一封網路釣魚郵件，點開郵件附檔下載惡意軟體，或點開郵件上的惡意連結。他們希望誘騙您洩漏敏感資訊，例如您的密碼、身分證字號或信用卡號碼。

網路釣魚有很多種方法，常見的有：

• 偽造的寄件人名稱：電子郵件看起來像是來自合法單位，但實際上寄件人電子郵件的域名完全不同，例如，寄件人名稱看起來像是來自 Netflix，但如果查看寄件人的電子郵件地址，會發現該電子郵件是來自 netflix@gmail.com（假設性的範例）。
• 打開偽造連結：駭客可能發送一封電子郵件，要您打開某個連結，然後用您的帳號密碼登入。這個偽造連結會打開一個假網站，藉此竊取帳號和密碼。保護自己的方法是打開連結之前，先檢查連結是否異常。
• 電子郵件附件檔案：電子郵件附件中的發票、文件、活動邀請都可能偽裝成病毒或惡意軟體，如果這些附件的檔名看起來很可疑，不要打開它。

網路釣魚是將電子郵件廣泛發送給很多人，而魚叉式網路釣魚的目標是個人或一小群團體，因此魚叉式網路釣魚難度較高。寄件人通常會偽造成您信任的某個人，或者在工作中與您有密切聯繫的人。

魚叉式網路釣魚要能成功，駭客必須事先對攻擊目標進行研究，收集他們的個資。社群網站是最容易收集資訊的地方，上面幾乎包含各種個人資料，例如電子郵件地址、電話、興趣嗜好、親朋好友等。駭客可以用這些資訊偽照出幾可亂真的郵件內容，來取得攻擊目標的信任。

魚叉式網路釣魚不易識別，您可以多留意這些特點：

• 電子郵件的寄件人。
• 判斷信件內容是不是一個正常合理的要求。
• 如果信件內容很可疑，不要直接回復郵件。您可以用其他管道聯絡寄件人，查證電子郵件的真實性。

電話網釣是另一種網路釣魚手法，駭客會假扮某個可信任的機構，用電話與您聯絡。他們將電話號碼偽造成那個您信任的機構，然後使用預錄語音、或用文字轉語音合成器來掩飾身份。這些人會利用詐騙電話的手法，讓這通電話更有說服力。

駭客在電話中會說明某種理由，例如您的銀行帳戶有可疑活動、轉帳出了問題、抽獎活動來取得信任。無論電話內容說些什麼，他們都是想取得您的敏感資訊。

以下方法可以識別電話網釣：

• 詢問對方打電話的原因，您是否聽過這家公司，您們曾有業務往來嗎？
• 他們是從您未參加過的抽獎活動中提供不切實際的收益，還是要幫您償還您從未聽說過的債務？
• 他們是不是用一些奇怪的理由，想取得您的個人資料？

假託是一種類似網路釣魚的社交工程攻擊，這些網路犯罪會冒充成您的朋友或同事，他們不但會說謊，還會營造出完整的情境進行欺騙。這種攻擊的效率很高，他們的目標通常是從某個資深人員那裡獲取資訊。

假託這種攻擊很難被發現，因為駭客會投入大量的研究和努力去冒充角色。然而，如果有人看起來太過友善，要求您提供某些不能分享的資訊，請保持懷疑的心態，質疑他們的目的。

交友詐騙指的是駭客利用別人的照片、影片和個人資料建立一個虛假的社群帳號，這些假身份通常用於網路霸凌或尋求關注。有時候，甚至用來騙取金錢或受害者的個人資料，這些資料隨後可能被用於另一次社交工程攻擊。

如果您在網路上認識了一位新朋友，他人很好，但總是不願意分享自己的照片或個人資料。這很有可能就是交友詐騙。以下是一些徵兆：

• 編造可憐的故事並要求捐款。
• 奇怪的藉口，例如他們不能視訊通話或講電話。
• 社群帳號沒有大頭貼照片，或盜用帥哥美女的照片。

這種社交工程攻擊使用誘餌來引誘受害者做一些事，其目的是用惡意軟體感染您的電腦，以取得敏感資料。例如用 USB 作為誘餌，刻意將其遺留在辦公室或停車場，上面貼上「主管薪資」等標籤，讓人們受到好奇心的驅使，將 USB 插入電腦，內部的惡意軟體就會感染他們的設備。

不過 USB 越來越少人使用，因此下餌這種手法現在主要用在 P2P 網站，駭客建立一個假的鏡像網站，讓人們以為他們透過 P2P 下載影片，但事實上會下載病毒，因此從不信任的來源下載軟體是有風險的。為了避免受到這類攻擊，建議安裝最新的防毒軟體，以確保下載的檔案是安全的。

等價交換攻擊是駭客為您提供某種服務以交換您的個人資訊。例如您收到一封電子郵件，告訴您某個小國的王子過世了，您繼承了他所有的遺產，不過您要提供銀行資訊給他們，並匯一筆小額的手續費，他們才能把龐大遺產轉給您。儘管這種手法看起來很愚蠢，但這類攻擊仍時常發生。

最常見的等價交換攻擊，是駭客假扮成IT專家，受害者通常有電腦上的小問題請求協助。他們不會懷疑電話或聊天軟體中的駭客，駭客通常會要求他們提供帳號密碼，以便查看問題。當駭客取得權限後，就能安裝惡意軟體或竊取重要資訊。

使用這種社交工程技術的駭客會入侵您的電子郵件或社群媒體帳號，然後向您的朋友發送一則訊息，例如「這個影片很有趣，分享給你！」

一般人傾向信任朋友傳來的訊息，不過只要打開訊息上的連結，設備就會被惡意軟體感染。更糟糕的是，一但病毒感染到您的設備，就會將同樣的訊息傳送給您的聯絡人。

1. 如果您知道這些手法，就更容易避免受騙。
2. 保持警覺，檢查寄件人或訊息來源的身份，特別是收到意外的電子郵件、簡訊或電話。請注意，如果一切聽起來太完美，那可能不是真的。
3. 留意錯誤。企業在發送內容之前，都會對內容進行檢查，以確保內容正確無誤。而駭客發送的內容，偶爾會出現語法上的錯誤和錯字。
4. 有疑問請查證。如果您對訊息或郵件內容有任何懷疑，請對內容進行查核，重要的是，不要一昧相信內容。
5. 養成良好的網路行為。
6. 不要將自己的相關資訊公布在社交平台，這些資訊幫助讓他人更了解您，進而用於社交工程攻擊。
7. 定期更新軟體，安裝可靠的防毒軟體。
8. 使用 VPN，VPN 能幫助隱藏資訊，避免駭客從中攔截資料，尤其是在公眾無線網路上。

使用 NordVPN 保護您的網上安全性。試用無風險 NordVPN，30 天退款保證。