社交工程(Social Engineering)是一種駭客利用與人互動和操弄來達到目的的技術。通常涉及說服受害者為了攻擊者的金錢或資訊利益而危害自身安全或破壞安全最佳作法。駭客經常會用社交工程來偽裝自己及動機，通常是冒充成可信任的對象。這類攻擊通常都依賴於人們的善良本性或對負面情況的恐懼。社交工程很常受駭客利用，因為利用人性比利用網路或軟體漏洞要來得更加容易。

最常見的社交工程型態就是電子郵件的社交工程，駭客向受害者傳送釣魚郵件，並將電子郵件偽裝成似乎來自受害者連絡人清單中的某人。電子郵件中可能包含藏有病毒或木馬的附件檔案，或在信件上附上可疑連結，點擊連結即會執行惡意的 Cross-site scripting 攻擊，或將受害者導向到惡意網站。

在此建議公司或組織內部的電子郵件(e-Mail)使用者應建立以下資訊安全觀念，避免讓自己成為公司或組織的資安破口：

1. 對於可疑的釣魚郵件，應主動提防，不要開啟來路不明信件以免導致主機中毒或被植入惡意程式。
2. 對於下列類型的電子郵件請直接刪除不要開啟，更不要點選連線或附件檔:
   (1)與工作或業務無關的電子郵件。
   (2)廣告信件或垃圾信件。
   (3)不熟悉或不認識的來源信件位址。
   (4)可疑的詐騙信件。
   (5)連線到您不熟悉或不認識的網址。
   (6)可疑的附件檔(.DOC /.EXE /.COM /.BAT /.JS /.SRC /.PIF等)。
3. 對於來路不明電子郵件之寄件者及電子郵件帳號，應提高警覺，切勿輕易開啟附件或網址的連結。若『寄件者』來自組織內部或熟悉的公司行號，其信箱位址之網域名稱應加以檢核是否正確 。
4. 寄件者或寄件內容與業務無關的信件，應立即刪除。
5. 將郵件軟體預覽功能關閉，防止誤開來源不明之信件。

另外，為了加強公司或組織內部的電子郵件(e-Mail)使用者的安全意識，建議每年辦理至少1~2次以上之社交工程演練，利用演練來有效測試員工或使用者的資安意識，以模擬駭客常用的釣魚郵件寄送測試郵件至使用者信箱引誘使用者點擊，統計使用者的開信率、附檔開啟率、郵件連結點擊率等資訊，並以易懂的統計報表讓管理者了解內部人員的資安意識程度，並對於資安意識較低的員工或使用者，以教育訓練或其他適當作為來加強當事人的資安意識，避免落入駭客的社交工程有效攻擊中，以促進組織整體資通安全的提升。

參考資料：

1. cloudflare.com：什麼是社交工程？
2. 資安趨勢部落格：什麼是社交工程(Social Engineering)？該如何保護自己？