草根影響力新視野  曾慶雄

社會工程學（Social Engineering）是指以非技術手段，透過操縱人的心理，誘使其主動或被動地揭露機密、提供資訊或執行某些行動，以達到攻擊、入侵、欺騙或其他不當目的的一種手法。

先簡單舉幾個例子：

（例一）

一個月前，我開車帶著妻子到銀行ATM提款。到達後妻子先下車，當我把車停好進入自動取款機亭時，我的妻子正在和二個不認識的男人交談。我一邊聽著談話一邊悄悄靠近。

「就是這樣，女士」其中一位說：「我想給我哥哥轉帳，但我取款機操作失誤被停權了，請您幫我代轉好嗎？我帳號有兩百萬您不用擔心。」

「對不起，我幫不了你」我妻子說。

「為什麼？女士」，其中一個聲音提高了：「你不相信我們？」

「是的，我不相信你！」我走近妻子時堅定的說。

二人立刻回頭：「你是誰？你不要干涉別人的事！」

「她是我妻子，你想要做什麼？我不相信你，如果你堅持，我會通知外面的員警。」

二人一臉驚恐頭也不回的衝了出去。

圖片取自:(示意圖123rf)

（例二）

我因生意需要飛往峇裡島，正要辦理登機手續的時候，在我面前辦理的人似乎對他的行李超重有些抱怨，然後他轉向我尋求幫助：「先生，我看到您的行李很輕便」他看著我說：「您可以幫我拿我的手提箱嗎？」

我立刻搖頭：「對不起我不能」我堅定地回答。

「為什麼？你不相信我嗎？」

「我怎麼能相信你？如果你的行李有危險品卻用我的名義登記，責任就要我來承擔！」

「那我該怎麼做？」他問。

我回他：「那是你的問題，多付點錢不就就行了？」

以下是一些防範社會工程學的建議：

增強安全意識：提高對社會工程學的認識，瞭解常見的欺詐手段和技巧，並保持警惕，避免被攻擊者利用。

建立嚴格的安全政策：企業和組織應該建立一系列的安全政策和程式，以規範員工的行為和操作，保護敏感資訊和資源。

加強培訓：對員工進行社會工程學防範培訓，提高他們對社會工程學的認知，學習如何識別和回應攻擊者的技巧和手段。

實施雙重認證和身份驗證：對於敏感操作和資源，實施雙重認證和身份驗證機制，確保只有授權的人員可以訪問這些資源。

定期進行安全檢查和風險評估：對系統進行定期的安全檢查和風險評估，及時發現和修補漏洞，防範社會工程學攻擊。

嚴格控制資訊的公開和共用：控制敏感資訊的公開和共用，並採取加密、存儲和傳輸安全措施，保障資訊的安全。

總之，防範社會工程學需要組織和個人共同努力，增強安全意識，建立嚴格的安全政策，加強培訓，實施雙重認證和身份驗證等措施，以保護個人和組織的安全。