儘管攻擊技術不斷進化，但數位發展部資安署主任李昱緯指出，社交工程的核心工具始終圍繞在四個主要樣態：釣魚郵件、惡意簡訊、偽冒網站以及偽冒檔案；最終目的不外乎「竊取資料」、「騙取金錢」，或進一步「控制電腦」。
       社交工程本身並不是技術上的攻擊，它攻擊的目標不是使用者的設備，而是攻擊使用者的信任，「社交工程的本質就是一場心理戰術。」他說。
       這些攻擊者會利用人性中最基本的三個弱點——包括對目標的信任、對事件的恐懼和對訊息的好奇心——來操控受害者的行為，讓受害者自己主動去交出金錢、資料，甚至電腦的帳號權限等。他認為，社交工程能夠成功的關鍵，就在於駭客控制了受害者的信任，進而控制了受害者的行為。
       這種將攻擊目標從技術轉向人心的戰術，帶來了驚人的高風險。特別是電子郵件作為社交工程最主要的傳播管道，其風險程度已達到駭人聽聞的地步。根據2025 年IBM Security X-Force威脅情報指標（Threat Intelligence Index）報告顯示，全球有超過九成的網路攻擊都是從社交工程郵件開始的。
       根據IBM X-Force團隊的觀察，網路攻擊者現在傾向於藉由社交工程等詐騙手段取得受害者的合法憑證，而非直接尋找系統弱點進行入侵。
       該報告指出，在2024 年，內建資訊竊取程式（infostealers）的電子郵件數量與上一年相比，增加了84％；而資訊竊取類網路釣魚電子郵件的數量，在2025年初的增長幅度已擴大到與 2023年相比，增加180％。
       由於駭客持續利用社交工程、釣魚郵件等方式，試圖竊取或破壞公司的敏感資料和系統，從這些數據發現，無論企業或政府機構的技術防線多麼堅固，只要單一員工或民眾的判斷失誤，一個點擊，就可能成為整個資安鏈條上的致命破口。
手法一：偽冒政府簡訊，搭上時事竊取個資
       駭客擅長搭上最新的時事熱點，例如利用普發現金或還稅於民等議題，假借政府名義發送惡意簡訊，這就是典型的「惡意簡訊」（Smishing），當民眾相信是官方訊息而點擊簡訊中的連結，就會被導向刻意設計的惡意網站；這些網站會誘騙民眾輸入身分證字號、車牌號碼等個人資料，最終達到竊取資料的目的。
       李昱緯提醒，這些偽冒網站或簡訊往往存在破綻，例如網址有問題，或是簡訊內容出現簡體字，民眾務必冷靜查證，切勿貿然轉傳或點擊。
手法二：偽冒網站連結，假罰單騙取金錢
       第二種常見的攻擊樣態是透過偽冒網站或連結，假冒政府或服務單位來騙取金錢。李昱緯以假冒監理站寄來的郵件或簡訊為例，通知民眾有交通罰款未繳，郵件會刻意營造一種過於緊急或情緒化的語氣，恐嚇如果不按時繳納，將會加罰甚至強制執行；民眾一旦感到緊張，失去理智，便會點擊進入惡意網站，並被引導輸入個人資料，甚至進一步被要求填入銀行信用卡資訊。在這種情況下，民眾不僅資料外洩，也遭受經濟損失。
手法三：偽冒軟體下載，將電腦變成「殭屍網路」打手
       更具破壞性的是透過偽冒網站來散播惡意程式，以達到控制電腦的目的。駭客會利用民眾搜尋常用通訊軟體（如LINE、Skype或Teams等）的機會，事先購買搜尋引擎的廣告，將含有惡意程式的假網站推送到搜尋結果的最前面。這些假網站的網址往往與官方網址極為相似，例如在名稱中加入額外的字母以魚目混珠。
       李昱緯警告，一旦民眾下載並執行了這些虛假的通訊軟體，惡意程式就會在背景偷偷運行，進而控制使用者的電腦。
       假若使用者電腦一旦被控制，不僅個人的帳號密碼和所有資料會被駭客盜走，還可能面臨資料被勒索、無法使用的風險；更為嚴重的後果是，這些被控制的電腦將淪為駭客的「免費打手」——成為殭屍網路（Botnet）的一部分，駭客會集結數以萬計的受控電腦，下達指令同時攻擊其他網站或系統，導致服務癱瘓。
手法四：惡意偽冒附檔，加密壓縮檔難以偵測
       最後一種是利用偽冒惡意的假附檔來控制電腦。李昱緯特別提醒，民眾應對那些夾帶加密壓縮檔並附上解壓縮密碼的郵件提高警覺。
       由於檔案經過密碼加密，許多資安防護系統在第一時間，無法直接判斷其中是否含有惡意程式。一旦使用者輕易解壓縮並點擊執行，裡面的惡意程式就會連線到駭客的中繼站，劫持個人設備，使電腦再次被駭客控制。
       若收到附件是壓縮檔且需要密碼解密，必須特別注意寄件者的身份，不認識的來源切勿輕易點擊。

資料來源：iThome