在生活已步入數位化的時代，金融業因為處理大量敏感財務數據，成為網路攻擊的主要目標。在面臨眾多資安挑戰和網路威脅中，社交工程是其中主要風險之一。根據媒體的報導，2023年金融業的資安預算高達5,607萬，比2022年成長了17.9%，反映出金融業對資安的重視與積極作為。 

但是，金融業的資安風險不僅來自傳統的駭客攻擊，更面臨社交工程手段的威脅。什麼是社交工程？社交工程是一種利用人類心理漏洞進行的攻擊手段。例如攻擊者偽裝成銀行高管，透過發送包含惡意連結的郵件，誘導銀行員工洩漏敏感的財務訊息。2015年位於加州的Ubiquiti Networks便發生了網路攻擊者，冒充是公司的CEO，要求員工處理緊急匯款，而這起網路騙局導致該公司損失了將近1200萬台幣。儘管全球網路的使用者都知道要小心這些社交工程手段的攻擊，這仍舊是最常見、也是最成功的攻擊媒介之一。2023年發生一起大規模的訂房網站客戶資訊洩漏事件，也是駭客透過精細規劃的社交工程手法，先入侵訂房網站系統，再用官方名義向訂房用戶寄送釣魚郵件，竊取使用者的信用卡資料。 

過去社交工程手段對金融業來說，屬於發生風險高但衝擊較低的資安項目。隨著AI人工智慧技術逐漸成熟，網路攻擊者也不斷進化，利用更先進的技術如深度偽造(Deepfake)、或AI驅動的攻擊手段來進行更難以察覺的社交工程攻擊。而這也是為什麼在2022年資安衝擊影響排名第7，發生風險排名第2；但到了2023年，社交工程手段的影響突然大幅提高，發生風險已超越了駭客威脅，一舉成為金融業在2024年最可能發生的資安風險第一名。 

隨著金管會鬆綁金融業上雲規範，雲端服務資安事件的風險勢必也會隨著增加。面對這些挑戰，金融業需要更加關注員工的資安意識培訓，提高對社交工程攻擊的警覺性。同時，加強技術防禦措施，如強化軟體供應鏈的安全性，以及採用更先進的資安技術，將是金融業保護自身免受攻擊的關鍵。

引用資料：

iThome 2023資安大調查

駭客利用偽造的booking.com進行網釣攻擊

The 7 most damaging phishing attacks of all time