利用人性弱點，應用簡單的溝通和欺騙技倆，以獲取帳號、通行碼、身分證號碼或其他機敏資料，來突破校園的資通安全防護，遂行其非法的存取、破壞行為。常見的手法有:

網路釣魚：誘騙使用者登入偽裝之網站以騙取帳號及通行碼等機敏資料。

垃圾郵件：利用電子郵件誘騙使用者開啟檔案、圖片或連結，以植入惡意程式、暗中收集機敏性資料。

而因為可偽裝寄件者、低成本可大量發送、無技術門檻等原因，電子郵件是最常被用來做為社交工程攻擊的工具。

如何防範

(一) 勿開啟來源不明的電子郵件及附加檔案。

(二) 開啟信件時多加檢查 :

• 檢查寄件者名稱與信箱
• 以郵件主旨評估是否有必要開啟郵件
• 檢查郵件內的連結是否正確
• 檢查郵件附檔的副檔名，是否為常見可含有病毒的檔案名稱，ex：*.bat、*.pif、*.exe、*.zip、*.src、*.cmd、*.rar等
• 轉寄郵件時刪除寄件者與收件者資料，並使用密件傳送。

(三) 關閉電子郵件的郵件預覽功能、圖片自動下載功能、盡量以較安全之純文字模式讀取。

(四) 勿將公務信箱帳號用於私人用途，如註冊購物平台等，避免難以區分垃圾郵件。

收到寄件者顯示自己信箱的恐嚇信

為攻擊者大量發送的垃圾信件時的常見手法，大多時候可以不用理會，直接刪除郵件即可。

因為在電子郵件機制中，寄件者是可以修改自己的寄件人顯示名稱/帳號的，垃圾郵件可以冒名偽造成受害者或熟人的信箱名稱。

教育部社交工程演練

資通安全事件通報及應變辦法 §8：每半年辦理一次社交工程演練

• 社交⼯為駭客常⽤入侵管道，透過電子郵件夾帶惡意程式或連結網址等方式，輔以吸引人之信件主旨內容，誘使缺乏警戒心的使用者開啟後造成進⼀步破壞，嚴重損害機關或個人之權益 。
• 演練⽅式為模擬駭客寄送各種誘騙的測試信件給本校同仁，測試受測者之資安意識。
• 透過實施演練，提升教育體系人員針對社交工程攻擊之警覺性，降低社交工程風險。
• 參與演練⼈員為學校全體人員。
• 誤擊社交工程之教職員生，將再接受一小時社交工程教育訓練課程。