在生活已步入数字化的时代，金融业因为处理大量敏感财务数据，成为网络攻击的主要目标。在面临众多资安挑战和网络威胁中，社交工程是其中主要风险之一。根据媒体的报导，2023年金融业的资安预算高达5,607万，比2022年成长了17.9%，反映出金融业对资安的重视与积极作为。 

但是，金融业的资安风险不仅来自传统的黑客攻击，更面临社交工程手段的威胁。什么是社交工程？社交工程是一种利用人类心理漏洞进行的攻击手段。例如攻击者伪装成银行高管，透过发送包含恶意连结的邮件，诱导银行员工泄漏敏感的财务讯息。2015年位于加州的Ubiquiti Networks便发生了网络攻击者，冒充是公司的CEO，要求员工处理紧急汇款，而这起网络骗局导致该公司损失了将近1200万台币。尽管全球网络的用户都知道要小心这些社交工程手段的攻击，这仍旧是最常见、也是最成功的攻击媒介之一。2023年发生一起大规模的订房网站客户信息泄漏事件，也是黑客透过精细规划的社交工程手法，先入侵订房网站系统，再用官方名义向订房用户寄送钓鱼邮件，窃取用户的信用卡数据。 

过去社交工程手段对金融业来说，属于发生风险高但冲击较低的资安项目。随着AI人工智能技术逐渐成熟，网络攻击者也不断进化，利用更先进的技术如深度伪造(Deepfake)、或AI驱动的攻击手段来进行更难以察觉的社交工程攻击。而这也是为什么在2022年资安冲击影响排名第7，发生风险排名第2；但到了2023年，社交工程手段的影响突然大幅提高，发生风险已超越了黑客威胁，一举成为金融业在2024年最可能发生的资安风险第一名。 

随着金管会松绑金融业上云规范，云端服务资安事件的风险势必也会随着增加。面对这些挑战，金融业需要更加关注员工的资安意识培训，提高对社交工程攻击的警觉性。同时，加强技术防御措施，如强化软件供应链的安全性，以及采用更先进的资安技术，将是金融业保护自身免受攻击的关键。