Cindy Liu / Marketing Specialist

資料來源：2024 iThome CIO大調查

「全球知名的科技公司遭釣魚郵件攻擊。攻擊者偽裝成公司高層，透過釣魚郵件詐騙財務部門，要求進行一筆大額資金轉移。」這樣的新聞內容不僅似曾相識，還天天上演。在數位化的今日，釣魚郵件是網路攻擊的主要手段之一，因為攻擊者能從人的信任、好奇心等人性弱點中看見破口，只要願者上鉤，便能達到目的。根據2024 iThome CIO大調查的結果，未來一年五大資安風險中，社交工程手段被受調者視為是最擔憂的資安風險，可見此攻擊手段之猖獗。為防止營運及聲譽遭受危害，企業人員須了解社交工程手段，並進行有效的演練措施。本篇文章將探討釣魚郵件和社交工程演練的重要性，並提供實用的保護指引。

釣魚郵件是什麼？ 

釣魚郵件（Phishing Email）是一種試圖詐取受害者敏感訊息（如登錄憑證或信用卡資訊）的欺詐郵件，是最常見的社交工程攻擊手段之一。為使人上鉤，攻擊者通常會偽裝成合法的機構或網域，並以看似可信的內容格式和語氣誘使收件人進行指令、點擊惡意連結或下載附件。一旦用戶未能識別，提供了機敏資料或下載了惡意軟體，攻擊者就能進一步入侵系統，竊取資料或執行其他惡意操作，最終將因一人的疏忽造成企業龐大的損失。

▼ 攻擊者仿冒一段字串相近的網域偽裝成企業經常往來之供應商窗口，在未留意的情況下容易點擊進入惡意網站執行付款。

常見釣魚信件類型 :

• 偽造成中獎通知或好康相報信件，誘使收件人點取連結或開啟附件
• 假冒官方帳號通知用戶系統升級、帳號停用、容量擴充等
• 宣稱已取得收件人個資，造成收件人驚慌，再予以勒索

▼ 好康相報型釣魚郵件案例

▼ 假冒官方帳號通知用戶系統升級

▼ 信件標題為收件者的Zoom密碼，駭客要求被害人以比特幣支付2,000美元贖金，若未於24小時內支付，則會將被害人的「私密影片」公布至其社交網路

為何企業需要社交工程演練? 

看似無害又合理正是網路釣魚攻擊如此成功的原因，一般人對「專業人士」、「官方帳號」的信任，卻可能成為盲點。此外，隨著AI趨勢崛起，釣魚郵件不僅生成更快速，還能夠自動化發送信件擴大攻擊範圍；許多攻擊者現在也會透過生成式AI來製作郵件內容，使之較以往精緻且專業。對此，收件人將更難辨別真偽，導致企業內部被駭客入侵的風險提升。

為避免企業內部人員無意間成為資安破口，必需加強人員對社交工程手法的認知，並藉由定期的演練，讓員工習慣具潛在風險的環境，提升威脅識別能力，以防範隨時可能面臨的社交工程攻擊。

社交工程演練所帶來的效益

透過設計及模擬社交工程情境，比如發送釣魚信件與員工進行接觸，來記錄員工的反應。根據演練結果，提供檢測報告及報告說明，以及企業資訊環境改善建議，並針對員工進行資安意識教育訓練，以提升員工對資安威脅的敏銳度，總地來說，執行社交工程演練能達到以下成效：

1. 提高員工警覺性：社交工程演練能幫助員工培養危機意識，學會識別潛在的資安威脅。定期的演練更可讓員工熟悉常見的攻擊手法，並學會如何應對。
2. 檢視企業防禦成效：透過模擬攻擊，企業可評估現有的資安防護措施是否有效，有助於審視資安防禦漏洞，並針對其進行改進。
3. 增強企業資安意識與文化：定期進行社交工程演練能夠培養企業整體的資安意識，更建立長遠的資安文化。

落實社交工程演練以防患於未然

社交工程攻擊對企業構成了挑戰，隨著AI科技進步，挑戰也變得更加嚴峻。社交工程演練已然成為部分組織之必要教育訓練，藉由定期演練，不斷更新最新攻擊手法，加強員工及檢查的習慣，才能持續提升企業的資安防禦能力，以建構嚴密的資安防禦網。

預防勝於治療👉立即諮詢社交工程演練服務