社交工程介紹：

社交工程簡單來說就是利用人性的弱點進行欺騙，是一種資訊安全攻擊方法，其利用人性 缺乏警覺性或好奇心的弱點，誘使人點擊其設計的陷阱

資安事件統計中，企業受到駭客集團鎖定時，95%以上會以 社交工程攻擊做為攻擊的進入點。常見的手法為: 惡意網站:例如提供授權付費的軟體可免費下載，誘使需求者透過搜尋引擎曝光，讓需求者在第一連線至該網站時，即可能被植入惡意程式。惡意電子郵件:攻擊者會客制很貼近您的生活或企業的動態內容，在郵件內容中附件或連結導至惡意伺服器端

社交工程的進行：

客戶端收件伺服器主機，基本上有兩種，一是自建郵件系統，二是託管服務於雲端

社交工程主要是偽冒信件進入進行測試，故受測端郵件主機要設定開放 relay 接受測試發信端主機來源信件。如果是自行建立的郵件主機有相關管理權限可以進行設定。

託管主機，則需要視託管主機提供多少相關權限與設定，但通常託管的主機並未開放相關設定，需要確認相關權限設定才能順利進行相關演練。

社交工程的流程：

首先我們會需要客戶確認是否進行全員受測試信件，或單獨部門受測試信件

若需要部門受測，則客戶需要準備全員電子郵件清單與部門帳號電子郵件清單

更貼近真實的驗證，更造假的驗證：

依照客戶經常性往來的客戶與廠商，銀行，人力資源等設計相近關聯的測試驗證信件

依照相互討論會議，提供更為虛假的銀行通知等，明顯錯誤，而驗證收信用戶端的資安意識