前言

隨著營運科技（Operational Technology, OT）產業的數位化與網路化加深，社交工程攻擊逐漸演變為針對企業運營安全的戰略性威脅。駭客已不僅依靠技術手段突破系統，而是透過釣魚郵件、深偽技術（deepfakes）與 AI 驅動的欺騙策略，直接攻擊人員信任與組織決策流程。此類威脅對於工業控制系統、能源網路及製造產業尤其危險，因為一旦突破，不僅是資料外洩，更可能導致生產中斷或公共安全事故。

社交工程威脅類型與發展趨勢

1. 傳統釣魚攻擊升級：駭客利用電子郵件與即時通訊平台發送精準針對性（spear phishing）的訊息，目標明確，結合企業內部專案或產業背景資訊，提高受害者點擊惡意連結或開啟附件的機率。
2. 深偽（Deepfake）技術威脅：AI 生成的語音與影像已被用於冒充高層主管或合作夥伴，透過即時通話要求轉帳、提供敏感資料或批准異常操作。其真實感極高，傳統驗證方式難以分辨。
3. AI 驅動的欺騙與自動化：攻擊者能透過 AI 工具自動生成高可信度的社交工程內容，快速大規模展開攻擊行動，降低攻擊成本並提升命中率。
4. 複合攻擊情境：駭客傾向結合技術滲透與人為欺騙。例如：利用釣魚郵件取得初始存取，再用深偽語音進行權限升級或操作確認，造成更大規模的入侵與破壞。

對 OT 環境的特殊影響

1. 高連續性需求：任何因社交工程引發的停工或誤操作，可能造成生產線長時間中斷。
2. 安全與生命風險：在電力、交通或醫療產業，駭客操作可能直接影響公共安全。
3. 人機介面弱點：OT 系統多倚賴操作人員決策，若人員遭欺騙，即使技術防護完整，仍可能導致錯誤操作。

組織層級防護指南

1. 建立資安治理架構： 設立跨部門資訊安全管理小組（ISMS Working Group），負責社交工程風險評估與應變決策。
2. 強化政策與稽核：將深偽與 AI 偽造訊息納入納入 ISO 27001 與 IEC 62443 要求，定期審核社交工程風險控制措施。

技術層級防護指南

1. 多層次驗證機制：對高風險操作（如資金轉帳、系統更新、權限變更）要求多因子驗證。
2. 電子郵件與通訊安全防護：部署進階郵件安全閘道，導入異常通訊流量偵測系統，及早攔截異常指令或惡意下載行為。
3. AI 驗證技術應用：導入深偽偵測工具，協助辨識語音與影像異常。

結論與行動建議

社交工程攻擊已成為針對 OT 產業的戰略威脅，其破壞力可能遠超過單純的 IT 入侵。對資訊部門主管與資安管理小組而言，應採取 組織、技術與人員三層並行 的防護策略，並持續評估與優化防護措施。建議企業立即：

1. 建立跨部門社交工程防護政策與治理架構；
2. 部署技術偵測與驗證工具，特別針對深偽與 AI 攻擊；
3. 提升人員安全意識，建立零信任決策文化；
4. 定期進行風險評估與演練，並持續改進防護策略。

資料來源：https://industrialcyber.co/features/social-engineering-becomes-strategic-threat-as-ot-sector-faces-phishing-deepfakes-and-ai-deception-risks/