社會工程學是不是比純駭客技術更可怕？

最近在看一本資安書，裡面提到一句話讓我印象很深：
「最容易被入侵的，不是系統，而是人。」
以前總以為駭客攻擊一定是寫程式、滲透伺服器，
但書裡的案例大多數都是社會工程：靠話術、裝熟、假冒身份等方式，直接套出帳號、密碼、內部文件
像是這些做法：
假冒IT部門打電話說：「我們偵測到異常登入，需要你現在馬上更改密碼」
喬裝成快遞人員、維修工程師混進辦公室，進行實體社工寄信冒充同事
附上看似Google Drive或OneDrive的釣魚連結
聽起來好像很誇張，但真的有人會中，而且不只發生在大公司
很多中小企業、學校、甚至醫院，都曾經被搞過
讓我比較震驚的是，有些社工技巧完全不需要技術背景，只要：
說話邏輯夠合理有幾個「你應該不會知道的內部資訊」（像名字、部門、辦公室位置）
再加上壓力或緊急感受害者就會乖乖把資料交出去
我自己是越看越覺得可怕，很多時候被害者甚至不覺得自己有「被入侵」，只是「幫了一個人一個小忙」而已