電腦很少自己開門,多半是「人」被說服去開門。社交工程(Social Engineering)是一種利用心理技巧、而非技術漏洞來取得資訊的攻擊。駭客利用人性的「急、慌、甜」(壓力、權威、誘惑),讓我們在資訊不足的情況下做出錯誤選擇。
1. 核心原理:人性的槓桿
攻擊者常扮演 IT、主管或銀行客服,利用以下誘因觸發行動:
- 權威感與緊迫感: 「我是總經理,這筆款項 30 分鐘內要匯出!」
- 恐懼與好奇: 「您的帳號異常將被停權」或「點此看全公司薪資表」。
口訣:只要感到「急、慌、甜」,操作就要「慢半拍」。
2. 現代五大高風險攻擊手法
- 魚叉式釣魚 (Spear Phishing): 高度客製化,引用你的真實姓名與專案細節。
- 商務電郵詐騙 (BEC): 冒充供應商更改匯款帳號,是企業金流損失最大的元兇。
- 深偽技術 (Deepfake): 利用 AI 模仿主管聲音或影像進行視訊通話要求撥款。
- 簡訊/語音釣魚: 假冒物流、電信商索取 一次性驗證碼 (OTP)。
- 誘餌/USB 投放: 利用「免費禮物」或不明 USB 誘使人員插入電腦。
3. 防範心法:從人、流程到技術
- 個人: 開啟 MFA (多因素驗證)、使用密碼管理器、從書籤登入官網(不點信中連結)。
- 流程: 金流變更必須**「口頭二次確認」**並執行雙人覆核。
- 技術: 導入郵件過濾(DMARC)、端點偵測 (EDR) 與裝置控管。
🚨 中招後的緊急應變
若不慎點擊或提供資訊,請立即:斷網、改密碼、撤銷登入 Session、通報資安窗口,並在台灣撥打 165 反詐騙專線。
