何謂「社交工程」（social engineering）

 社交工程是利用人性的弱點或利用人際之信任關係來進行詐騙，進行詐騙，是一種非「全面」技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。

 舉例說明：

1. 利用人與人之間的關係，偽冒使用者信任來源，例如家人、同事、長官….等等。
2. 偽裝成可信任的寄件者發送夾雜病毒的E-mail，當使用者對信件判斷為可信任來源時，開啟信件與附檔，造成病毒順利植入的情況。
3. 病毒的類型除了執行檔外，有時會夾雜於文件、圖檔甚至影音檔中，讓使用者防不勝防。

常見的社交工程攻擊手法：

1. 電話(早期)
2. 電子郵件隱藏電腦病毒
3. 網路釣魚
4. 偽裝工具程式
5. SMS簡訊
6. 社交媒體:Facebook、Line、Instagram等，也是社交工程新途徑

電子郵件攻擊或詐騙內容類型     

1. 『針對性』的詐騙信件
   偽造成系統升級、帳號/信箱停用、容量擴充等通知信件，假造信件會附上該系統logo，以騙取信任，例如實踐大學、Google、Hinet，或銀行等logo
   詐騙信中提供的網址連結，也會導向URL類似或網頁仿真的網頁
2. 『亂槍打鳥型』的詐騙信件
   利用好康資訊誘使收信者點選連結或開啟附件，例如中獎通知或投資獲利機會
   各種通知信件，例如快遞、送貨、銀行通知等，通常會騙取開啟信件附件
   宣稱已取得密碼及駭入電腦，威脅將公開不堪的網站瀏覽記錄，並勒索高額比特幣

電子郵件攻擊或詐騙手法型態
•    點選詐騙信件中的網址連結連到網頁後輸入帳號密碼
•    點選詐騙信件中的網址連結連到內藏惡意程式的網頁
•    點開詐騙信件中內含惡意程式，或利用軟體漏洞的附件檔案，例如MS Office、Adobe版本漏洞
•    透過附件內容騙取使用者回覆個人資訊，例如中獎通知
•    利用恐嚇性質的信件內容，造成收信者驚慌，並予以勒索匯款

 教育部實施電子郵件社交工程演練

演練目的

社交工程為駭客常用入侵管道 ，透過電子郵件夾帶惡意程式或連結網址等方式，輔以吸引人之信件主旨及內容，誘使缺乏警戒心的使用者開啟後造成進一步破壞且多有實際入侵成功案例 ，嚴重損害機關或個人之權益 。為提高教育機構教職員工警覺性以降低社交工程風險，藉由模擬駭客寄送各種誘騙信件的手法，實際演練作業，測試教職員點選各類誘騙信件的比率，以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。提升教育體系人員針對社交工程攻擊之警覺性並檢驗機關防範社交工程成效及透過後續持續改善降低社交工程風險 。

演練方式

針對每位受測人員寄發 10 封不同內容測試測試信件進行統計分析作業，統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。測試作業之測試信件寄件人名稱，均為偽造，用來測試受測人對寄件人名稱是否合理的辨識能力。

演練郵件型態

以偽冒公務、個人或公司行號等名義，發送社交工程演練 郵件 給受測 人 員 ，郵件主題分為八卦、休閒、保健、財經、新奇、時事、模擬實際社交工程樣本等類型，郵件內容包含連結網址或附檔。

目標值

依演練計畫之目標值，受測機關開啟信件人員比率應低於10%，點選連結或附件之人員比率應低於6%。演練結果未達目標值之機關針對所屬人員加強防範社交工程訓練宣導，強化人員資安警覺意識，落實公務信件處理安全。