社交工程不警覺，惡意攻擊緊跟隨

工作時最常使用信件往來進行溝通及作業處理，電子郵件紛飛多到快看不完的情況下，是否有收過莫名其妙的郵件，在打開或點選郵件內的附件或連結後，看到Boby的驚嚇圖呢?您，曾踩到「雷」嗎?!

社交工程(Social Engineering)是利用人性弱點(貪小便宜、恐懼)，以簡單的溝通和欺騙技倆，非法獲得帳號、密碼、個資或其他機敏資料，之後再進一步突破個人、企業或政府機關的資通安全防護機制。最常使用的攻擊手法就是透過Email、簡訊方式，在開啟郵件/簡訊/圖片、附件檔案或信件內連結時，下載惡意軟體、病毒、木馬程式到電腦或導引到詐騙網站，誘騙登入網站以騙取帳號密碼資訊，進而取得公司重要或機密性資料。

駭客或惡意攻擊者為達到「高報酬率」(這年頭連駭客都在意成本效益比了)，常透過有以下特徵之可疑信件，增加信件的點閱/擊成功率：

●寄件者假借公務、個人或公司行號等名義發送惡意郵件

●利用吸引人的主旨、與業務相關或令人感興趣的郵件內容

●誘騙登入帳號、密碼騙取機敏資料

●通知重新認證騙取機敏資料

●含有惡意程式的附件或連結

●利用應用程式之弱點包括零時差攻擊

公司為提升同仁資安意識，持續辦理社交工程郵件演練，並對演練時誤踩「雷」的同仁再次進行訓練或宣導，以期提醒同仁們注意社交工程威脅，並能建立良好的電子郵件使用及操作習慣，降低公司重要或機密資料外洩之風險。

如何有效防範社交工程郵件：

●非公務業務相關、不明來源與可疑之電子郵件請直接刪除

●寄件者與業務往來無關的信件請直接刪除，切勿輕易開啟增加風險

●不輕易點選、下載或回傳電子郵件內的圖片、連結、附件檔案與資料

●信件主旨越聳動、精彩、有趣、引人入勝，其意圖越可疑，應時時保持警覺

●確認寄信人與主旨間的關係

最後提醒大家，人員資安意識是資訊安全最重要的一道防線，大家的高警覺性不誤踩社交工程「雷區」，都對保護公司重要或機密資料有極大助益。你的「謹慎一眼」，是資安重要防護堡壘！