近年來「社交工程(Social Engineering)」是最難防範的攻擊手法之一，社交工程利用人性缺乏警覺性或存在好奇心的弱點進行詐騙及釣魚，通常使用電話、電子郵件、假冒身分方式，用以取得受騙者個人資料、帳號密碼、金錢等利益。
    本研究藉由電子郵件社交工程，探討政府/教育/電信/金融/物流機構在電子郵件社交工程點選信件類型偏好、點選時間差異、點選趨勢及點選前三名等，進行行為分析。
    本研究社交工程信件分類共12類，點選前三名分別為：健康(16%)、科技(14%)、時事(13%)，推論國人較重視健康類型資訊。點選方式排名依序為：開啟信件(74%)、開啟附檔(19%)、點擊URL(7 %)，此為開啟信件時，預設自動下載圖片或自行下載圖片瀏覽信件。各機構點選率排名：物流(221%)、金融(218%)、電信(83%)、教育(30%)、政府(2%)，此由於物流機構2015年開始進行社交工程測試，點選人員較未受過相關資安認知課程，故點選率較高。

Social engineering is one of the attacks that are the most difficult to prevent in recent years. It takes advantage of people’s vulnerability such as the curiosity or the lack of alert awareness to perform fraud or phishing. It gets the profits from the victim, such as the personal information, account, password, and money through phone call, Email, and fake identity.
With case study method, the study explores the preference of clicking mail types, difference of clicking time, clicking trend and top three clicking items of the government/education/telecom/finance/logistics institutions in Email social engineering, so as to conduct behavioral analysis.
The top three among the 12 categories of social engineering mails classified by the study are: health (16%), science and technology(14%), and news(13%). It indicates that the citizens value the information related to health. The clicking mode ranks are: open letter (74%), open the attached file (19%), and click URL (7%).The clicking rate ranks of the institutions are: logistics(221%), finance(218%), telecom(83%), education(30%), and government(2%).

目次	III
表目錄	V
圖目錄	VII
第一章	緒論	1
第一節	研究背景與動機	1
第二節	研究目的	2
第三節	論文架構	3
第二章	文獻探討	4
第一節	資訊安全	4
第二節	網路釣魚	7
第三節	社交工程	10
第四節	社交工程信件分類	13
第五節	相關文獻	13
第三章	研究設計	17
第一節	研究對象與範圍	17
第二節	研究方法	17
第三節	研究流程	18
第四章	資料分析	19
第一節	社交工程信件點選資料分析	19
第二節	社交工程信件趨勢分析	31
第三節	政府與非政府機構社交工程信件點選資料分析	38
第四節	社交工程信件點選前三名分析	40
第五節	研究發現	40
第五章	結論與建議	43
第一節	結論	43
第二節	建議	45
參考文獻	46

表2-1 資訊安全定義整合表	5
表2-2 網路釣魚定義整合表	7
表2-3 Basic Statistics	8
表2-4 社交工程定義整合表	10
表2-5 防範社交工程結論	12
表2-6 社交工程行為相關論文	14
表4-1 資料所有欄位及說明	19
表4-2 點選分類排名	20
表4-3 點選動作排名	20
表4-4 分類及動作分布	21
表4-5 點選時間分布	22
表4-6 機構類型點選分類分布	23
表4-7 機構類型點選時間分布	25
表4-8 機構人數與點選分布	26
表4-9 機構人次與點選分布	27
表4-10 各機構點選分類分布	27
表4-11 各機構子單位點選分類分布	29
表4-12 各年度機構人數點選趨勢	31
表4-13 各年度機構人次點選趨勢	31
表4-14 各年度分類點選趨勢	32
表4-15 各年度各機構人數點選趨勢	33
表4-16 各年度各機構人次點選趨勢	35
表4-17 各年度機構分類趨勢	36
表4-18 政府、非政府人數點選分類	38
表4-19 政府、非政府人次點選分類	38
表4-20 政府、非政府點選時間	39
表4-21 各機構點選分類TOP3	40
表4-22 各機構點選時間TOP3	40
表5-1 各機構TOP3	44

圖2-1 Phishing Attacks and Domains Used	9
圖3-1 研究流程圖	18
圖4-1 Outlook自動下載設定畫面	21
圖4-2 時間分布圖	23
圖4-3 機構類型點選時間圖	25
圖4-4 政府、非政府點選時間圖	39

一、	中文文獻
1.	Openfind（2014年12月09日）。2014 第三季Openfind 郵件威脅分析報告【部落格文字資料】。取自http://www.openfind.com.tw/taiwan/news_detail.php?news_id=4779
2.	Trend Labs 趨勢科技全球技術支援與研發中心（2014年7月14日）。《APT 攻擊》91％的目標攻擊利用電子郵件作為進入點【部落格文字資料】。取自http://blog.trendmicro.com.tw/?tag=apt-%E7%A4%BE%E4%BA%A4%E5%B7%A5%E7%A8%8B%E4%BF%A1%E4%BB%B6
3.	台北富邦銀行（無日期）。如何辨識詐騙郵件【線上論壇】。取自https://ebank.taipeifubon.com.tw/B2C/cgequ/cgequ006/CGEQU006_Home.faces，上網日期：2015年12月20日。
4.	行政院科技顧問組（2010）。2010資通安全政策白皮書。臺北市：行政院。
5.	何幼德（2015）。企業員工認知因素對社交工程攻擊行為之影響（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號103YZU05586003）
6.	余建輝（2011）。社交工程對公部門資訊安全管理影響之研究（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號100DYU01121215）
7.	林士凱（2014）。以資訊安全觀點探討影響醫師使用電子病歷之研究（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號102CCU00777006）
8.	林志穎（2013）。以社會網絡、制度理論探討社交工程之電子郵件使用行為模式（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號101NPUS5396058）
9.	季祥（2014）。APT攻擊對企業資安政策之影響（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號102PCCU1396032）
10.	林維國（2012）。從惡意電子郵件攻擊樣本探討未來我國政府機關社交工程演練之方向–以A機關為例（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號100NCU05396014）
11.	林蕙君（2013）。惡意郵件社交工程防範作業有效性之研究（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號101NSYS5396044）
12.	胡統善（2014）。從社群網站使用者行為模式探討社交工程手法與防制作為（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號103NDU00654016）
13.	胡聖良（2012）。影響使用者遭受社交工程誘導因素之研究（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號100CCU00396008）
14.	高大宇、曾俊傑、王旭正（2011）。基植管理循環為基礎之社交工程事件分析研究。前瞻科技與管理，1，85-98。
15.	張錫鈴（2010）。電子郵件社交工程與資訊安全認知行為之研究探討-以某企業為例（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號098NYPI5396020）
16.	章友萱（2009）。組織落實資訊安全之行為模式研究—以T公司電子郵件社交工程演練為例（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號098NTUS5396065）
17.	陳雅琪（2014年2月）。上班族當心！躲開5種駭客劫。Cheers雜誌，161，16。
18.	陳銘言（2009）。社交工程電子郵件攻擊之使用者行為模式分析（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號097FJU00396029）
19.	陳嘉玫（2011）。網路安全的社交工程。科學發展，461，16-23頁。
20.	游千慧（2009）。以制度理論探討郵件社交工程演練之行為模式（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號098NTUS5396037）
21.	廖釗頡（2010）。網路釣魚被害類型及其成因（碩士論文）。取自臺灣碩博士論文知識加值系統。（系統編號098NTPU0102074）
22.	維基百科（無日期）。資訊安全【線上論壇】。取自https://zh.wikipedia.org/wiki/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8，上網日期：2015年12月03日。
23.	潘文涵、吳幸娟、葉志嶸、莊紹源、張新儀、葉乃華、謝耀德（2009）。台灣人飲食與健康之趨勢：1993-1996與 2005-2008營養健康調查之比較。2005-2008台灣營養健康調查成果發表會，台北。



 
二、	英文文獻
1.	APWG (2015). Global Phishing Survey: Trends and Domain Name Use in 2H2014. Retrieved from http://docs.apwg.org/reports/APWG_Global_Phishing_Report_2H_2014.pdf
2.	Anti-Phishing Working Group (2015). Phishing Activity Trends Report-4Q2014. Retrieved from http://docs.apwg.org/reports/apwg_trends_report_q4_2014.pdf
3.	Cynthia D., Dhinaharan N., & Jae-Kwang L.(2010). Multilayer Approach to Defend Phishing Attacks. 網際網路技術學刊, 11卷3期, 417-425. doi:10.6138/JIT
4.	Dhamija, R., Tygar, J. D., & Hearst, M. (2006, April). Why phishing works. In Proceedings of the SIGCHI conference on Human Factors in computing systems (pp. 581-590). ACM.
5.	Dodge, R. C., Carver, C., & Ferguson, A. J. (2007). Phishing for user security awareness. Computers & Security, 26(1), 73-80.
6.	EMC Corporation (2014). 2013 A Year in Review. RSA Monthly Online Fraud Report-January 2014.Retrieved from http://www.emc.com/collateral/fraud-report/rsa-online-fraud-report-012014.pdf
7.	Evans, Nathaniel Joseph (2009). Information technology social engineering: An academic definition and study of social engineering - analyzing the human firewall (Doctoral dissertation). Available from ProQuest Dissertation and theses database. (UNI No. 3369832)
8.	Gowtham, R., & Krishnamurthi, I. (2014). A comprehensive and efficacious architecture for detecting phishing webpages. Computers & Security, 40, 23-37.
9.	Hadnagy, C. (2010). Social engineering: The art of human hacking. John Wiley & Sons.
10.	IBM. (2014). IBM Security Services 2014 Cyber Security Intelligence Index. Retrieved March 6, 2015, from http://www-935.ibm.com/services/us/en/it-services/security-services/2014-cyber-security-intelligence-index-infographic
11.	ISO/IEC, (2013). ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements. Geneva, Switzerland: ISO/IEC.
12.	Kak, A. (2010). Mounting Targeted Attacks with Trojans and social Engineering－Cyber Espionage. Lecture Notes on Computer and Network Security. http://cobweb.ecn.purdue.edu/~kak/compsec/NewLectures/Lecture29.pdf
13.	Kritzinger, E., & von Solms, S. H. (2010). Cyber security for home users: A new way of protection through awareness enforcement. Computers & Security, 29(8), 840-847.
14.	Luo, X. R., Brody, R., Seazzu, A., & Burd, S. (2013). Social Engineering: The Neglected Human Factor for Information Security Management. Managing Information Resources and Technology: Emerging Applications and Theories: Emerging Applications and Theories, 151.
15.	Mitnick, K. D., & Simon, W. L. (2011). The art of deception: Controlling the human element of security. John Wiley & Sons.
16.	Peltier, T. R. (2006). Social engineering: concepts and solutions. Information Systems Security, 15(5), 13-21.
17.	Ramgovind, S., Eloff, M. M., & Smith, E. (2010, August). The management of security in cloud computing. In Information Security for South Africa (ISSA), 2010 (pp. 1-7). IEEE.
18.	Sahu, K. R., & Dubey, J. (2014). A survey on phishing attacks. International Journal of Computer Applications, 88(10).
19.	Stone-Gross, B., Abman, R., Kemmerer, R. A., Kruegel, C., Steigerwald, D. G., & Vigna, G. (2013). The underground economy of fake antivirus software. In Economics of Information Security and Privacy III (pp. 55-78). Springer New York.
20.	Topçu, S., & Metin, B. (2011). Organizing COBIT control objectives for effective information technology compliance. In 2011 IEEE 12th International Symposium on Computational Intelligence and Informatics (CINTI), pp. 461-464.
21.	US-CERT (2013).Technical Trends in Phishing Attacks. Retrieved from https://www.us-cert.gov/security-publications/technical-trends-phishing-attacks
22.	US-CERT (2013). Why is Cyber Security a Problem? Retrieved from https://www.us-cert.gov/ncas/tips/ST04-001
23.	Wikipedia. (n.d.). Social engineering [Online forum comment]. Retrieved from https://en.wikipedia.org/wiki/Social_engineering_(security) , accessed 2015/12/03.
24.	Wilson, M., & Hash, J. (2003). Building an information technology security awareness and training program. NIST Special publication, 800, 50.
25.	Workman, M. (2007). Gaining access with social engineering: An empirical study of the threat. Information Systems Security, 16(6), 315-331.
26.	Workman, M. (2008). A test of interventions for security threats from social engineering. Information Management & Computer Security, 16(5), 463-483.
27.	Workman, M. (2008). Wisecrackers: A theory‐grounded investigation of phishing and pretext social engineering threats to information security. Journal of the American Society for Information Science and Technology, 59(4), 662-674.
28.	Wu, M. (2006). Fighting Phishing at the User Interface (Doctoral dissertation). Available from ProQuest Dissertation and theses database. (UNI No. 0818189)