社交工程的本質，從來都不是對設備發動技術上的攻擊，而是針對使用者的「信任」發動心理戰術。誠如數發部資安署主任李昱緯所言，社交工程是一場徹頭徹尾的心理戰，駭客正是利用人性中最基本的三個弱點——對目標的「信任」、對事件的「恐懼」，以及對訊息的「好奇心」——來操控受害者的行為，讓他們自己主動交出金錢、資料，甚至電腦的帳號權限。
       在過去三年中，駭客的社交工程攻擊手法發生了明顯的策略轉變，已從傳統廣泛發送的「網路釣魚」郵件，轉向更具針對性且直接以金錢為目標的商業郵件詐騙（Business Email Compromise，BEC）攻擊。
       根據2024年DBIR報告顯示，假托（Pretexting，亦稱之冒名）攻擊的頻率已超越傳統的網路釣魚（Phishing），成為社交工程中最主要的攻擊手段。
       因為「假托」是商業郵件詐騙（BEC）攻擊的核心，攻擊者透過偽造身分和特定情境，精心編織謊言，誘導受害者進行匯款或提供敏感資訊。這類BEC攻擊的增長速度驚人，它已占據所有社交工程事件的一半以上。
這種轉變的核心意義在於：攻擊者的目標，已經從竊取可用於後續攻擊的憑證，轉向更直接、更快速的「金錢變現」，這導致BEC攻擊的財務殺傷力極為驚人。
       根據2024年的DBIR報告顯示，單次BEC事件的損失中位數約為5萬美元（約為新臺幣150萬元），而根據美國 FBI 的統計，2024年全球因BEC造成的總損失更高達27.7億美元（約新臺幣831億元）。
儘管假託攻擊和BEC崛起，但傳統的網路釣魚威脅並未消失，它仍是勒索軟體等惡意程式最主要的傳播途徑。
       2024年DBIR報告指出，員工的資安意識有所提升，相關的合作夥伴在2023年提供的社交工程演練數據，有20％的使用者，未點擊連結的情況下，主動通報了可疑郵件；而點擊了網路釣魚郵件的使用者中，也有11％進行了回報。
       但是令人不安的是，使用者面對惡意郵件時的反應速度極快，當用戶打開郵件後，點擊惡意連結的平均時間為21秒；而落入釣魚郵件陷阱的用戶，則只需再花28秒即可輸入個人資訊。這引出一個令人擔憂的現象：使用者落入釣魚郵件陷阱的平均時間不到60秒。

資料來源：iThome