社交工程攻擊已成為企業營運中最難以防範的網路安全威脅，其惡意利用人類的信任、恐懼與急迫性，成為數據洩露事件的主要原因。成功的社交工程攻擊平均可能造成數十萬美元的巨大財務損失。面對這種以「人」為最弱環節的威脅，單純的技術防禦不足應對，企業必須從意識與制度層面進行全面強化。

社交工程攻擊對企業安全構成重大威脅，導致巨額財務損失和資料外洩急劇增加。這篇文章概述了11 種社交工程攻擊類型和保護企業的多層次策略，涵蓋員工培訓、強大的技術保障、全面的安全策略以及利用不可變的隔離存儲的彈性備份和災難恢復計劃，以有效減輕這些攻擊的破壞性影響。以下是這十一種常見的社交工程攻擊類型項：

1. 網路釣魚：這是經典騙局，它使用欺騙性的電子郵件、簡訊（簡訊網路釣魚），甚至是社群媒體訊息。
2. 捕鯨：瞄準大魚，鯨釣攻擊的目標並非隨機人群，而是高階主管。
3. 誘餌：免費贈品的誘惑，誘餌攻擊會利用免費或誘人的東西來引誘使用者。
4. 轉移竊盜：在線上，轉移竊盜是指誘騙您將敏感資訊傳送給錯誤的收件者。
5. 商業電子郵件外洩 (BEC)：BEC 攻擊以企業為目標。攻擊者冒充企業主管，誘騙員工匯款或更改銀行資訊。
6. 簡訊網路釣魚：人們對簡訊的警覺性通常不如電子郵件高，一則簡單的短信，加上惡意鏈接，就能造成意想不到的後果。
7. 交換條件：攻擊者可能會冒充 IT 支援人員，提出協助解決技術問題，以換取登入憑證或其他敏感資料。
8. 藉口：精心編造的故事，攻擊者可能會冒充警察或政府官員，他們會編造一個看似合理的場景，誘騙你透露資訊。
9. 蜜罐：網路愛情騙局，攻擊者會在約會網站或社群媒體平台上建立虛假個人資料，與受害者建立關係，藉以獲取信任，然後竊取金錢或資訊。
10. 尾隨/搭便車：攻擊者透過追蹤授權人員穿過大門或安全檢查站，從而未經授權進入安全區域。
11. 水坑攻擊：針對特定群體，攻擊者會用惡意軟體感染這些網站，等待目標群體造訪並感染病毒。

社會工程攻擊仍然是一個持續存在的威脅，它利用人類心理來危害安全。透過了解各種類型的社會工程攻擊並實施有效的預防措施，組織和個人可以顯著降低自身脆弱性，並建立更具韌性的安全態勢。為了顯著降低企業的脆弱性，組織必須採取多層次的防禦措施。這包括對員工進行持續且實用的資安意識培訓，教導其識別電子郵件異常、驗證請求真實性，並對突如其來的「緊急」要求保持警惕。技術上，應部署強大的電子郵件過濾、啟用多因素身份驗證（MFA），並實施嚴格的存取控制。企業更需建立涵蓋不可變儲存和隔離備份的彈性災難恢復計畫，確保在遭受惡意加密或破壞後，能安全復原，保障營運資產。

資料來源：https://dailysecurityreview.com/blog/11-types-of-social-engineering-attacks-and-how-to-prevent-them/