教甄◆電腦科專業題庫下載題庫

什麼是社交工程

社交工程，英文為Social Engineering，是以影響力或說服力來欺騙他人以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。

社交工程造成極大威脅的原因，在於惡意人士不需要具備頂尖的電腦專業技術，只要企業員工對於防範詐騙沒有足夠的認知，就可以輕易地避過了企業的軟硬體安全防護，而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊，對企業所造成的損害與威脅，完全不下於網路上的各種駭客攻擊。

企業員工對安全防護認知的不足與輕忽，造成了企業資通安全的一大漏洞，公司即使投資了各種網路防護的軟硬體，並訓練員工正確的系統操作步驟、資料儲存程序，再加上良好的保全系統保護機房安全...

什麼是社交工程

社交工程，英文為Social Engineering，是以影響力或說服力來欺騙他人以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。

社交工程造成極大威脅的原因，在於惡意人士不需要具備頂尖的電腦專業技術，只要企業員工對於防範詐騙沒有足夠的認知，就可以輕易地避過了企業的軟硬體安全防護，而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊，對企業所造成的損害與威脅，完全不下於網路上的各種駭客攻擊。

企業員工對安全防護認知的不足與輕忽，造成了企業資通安全的一大漏洞，公司即使投資了各種網路防護的軟硬體，並訓練員工正確的系統操作步驟、資料儲存程序，再加上良好的保全系統保護機房安全，結果仍可能不堪一擊，因為社交工程利用人性容易相信而上當的弱點，避開了不容易破解的網路防火牆，選擇容易跨越的人性防火牆，只應用了簡單的溝通和欺騙技巧，便突破了企業的安全防護，而突破這些耗資千萬的層層安全防護，所花費的成本竟然只有一、兩通電話的費用。

應用社交工程的各種攻擊方法

除了利用電話詐騙之外，常見的社交工程攻擊還包括︰

（1）電子郵件隱藏電腦病毒

駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱，例如過去造成重大損害的I LOVE YOU蠕蟲，就是一種利用社交工程散播的電腦病毒。

（2）網路釣魚

有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。

（3）圖片中的惡意程式

明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。

（4）偽裝修補程式

另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，卻沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。

（5）即時通也是社交工程新途徑

近年來，社交工程傳播惡意程式的途徑擴大至即時通訊軟體，如MSN、ICQ、YAHOO即時通、QQ等。2005年2月，一個使用MSN大量散播的病毒造成嚴重災情，這個電腦病毒會利用MSN自動傳檔給MSN連絡人上的朋友，亞洲各國皆傳出災情，包括台灣的案例也有千起以上。