Social Engineering 社交工程

• Human vectors 透過人進行攻擊
• • 透過人進行攻擊，說服人執行惡意程式

Email 信件偽裝認識的人或廠商欺騙使用者執行程式、點擊連結

• Impersonation and pretexting 冒充或藉口
• • 冒充他人取得好處
  • 欺騙取得身分驗證碼

• Phishing and pharming 網路釣魚與網域欺騙
• • Phishing 網路釣魚 - 誘騙目標使用惡意資源、欺騙合法通訊和網站
  • Vishing 語音釣魚 - 使用語音進行詐騙，如語音提供個人資訊盜取錢財。
  • SMiShing 簡訊釣魚 - 透過簡訊傳送連結。
  • Pharming 網域欺騙 - DNS欺騙重新導向。

• Typosquatting 誤植

攻擊者可能註冊「gooogle.com」而不是「google.com」，當用戶不小心輸入錯誤的網址時，就會被引導到這些惡意網站。這些網站通常模仿合法網站的外觀和設計，以騙取用戶的個人信息或進行其他惡意活動。

• • 攻擊者通過使用看似合法的內容和設計，使釣魚訊息看起來更真實，以誘騙目標。
  • 攻擊者偽造電子郵件地址，使其看起來像是來自可信來源。
  • 攻擊者利用電子郵件發件人欄位中的混淆技術，使目標難以辨別電子郵件的真實來源
  • Typosquatting（域名劫持）：攻擊者註冊與合法域名非常相似的域名，利用拼寫錯誤來誘騙目標訪問惡意網站。

• Business email compromise 商業電子郵件洩漏
• • 冒充同事、夥伴、廠商
  • 冒充品牌

Watering hole attack 水坑攻擊
攻擊者不直接攻擊目標，而是埋伏在目標可能會訪問的網站或網頁上。這種攻擊方式的名稱來自於動物在水坑喝水時容易被捕獵的情景。
具體來說，攻擊者會先分析目標群體經常訪問的網站，然後在這些網站上植入惡意代碼。一旦目標訪問這些被感染的網站，惡意代碼就會自動下載並執行，從而感染目標的設備1。