根据《微软 2023 年数字防御报告》的数据显示,网络钓鱼攻击是去年第三大最常见的威胁载体,占所有成功攻击告警的 25%。
网络钓鱼攻击之所以成为如此流行的攻击方式,部分原因在于其使用社交工程来提高成功率。如今,有90% 的网络钓鱼攻击都在使用社交工程学策略来操纵受害者泄露敏感信息、点击恶意链接或打开恶意文件。这些攻击往往会通过制造虚假的紧迫感、将受害者推入情绪高涨的状态或利用现有的习惯或规范来影响受害者。
如果组织试图防御网络钓鱼,首先要了解攻击者是如何利用社交工程操纵人类行为的。
一般来说,社会工程学攻击是一个漫长的骗局。这类攻击可能需要长达数月的观察和研究,因为攻击者要设法与受害者建立牢固的信任基础。一旦这种信任建立起来,攻击者就可以利用社交工程来操纵受害者采取某些不符合其性格的行动,例如点击恶意电子邮件链接。通常情况下,攻击者会操纵情绪,如紧迫感、情感和习惯等,以说服目标采取某种行为。
社交工程通常从调查开始。攻击者会确定目标并收集其背景信息,如潜在的进入点或公司当前的安全协议。在此基础上,攻击者将重点与目标建立信任关系。他们通常会试图编造一个故事,吸引目标上钩,并控制互动,使其向有利于攻击者的方向发展。
如果攻击者了解受害者,他们就能预测受害者会如何回应一个具有时间敏感性的请求或看似例行公事的电子邮件。
例如,在 2022 年初,威胁组织 Octo Tempest 发起了一系列范围广泛的攻击活动,主要采用中间对抗(AiTM)技术、社交工程和 SIM 卡交换功能。他们最初以移动电信和业务流程外包组织为目标,发起 SIM 卡交换,后来又扩大到有线电信、电子邮件和技术组织。该威胁组织通常通过研究组织和确定目标来发起社交工程攻击,从而有效地冒充受害者,利用个人身份信息诱骗技术管理员执行密码重置和重置多因素身份验证 (MFA) 方法。据观察,Octo Tempest 还会冒充新招聘员工,试图混入正常的招聘流程。
攻击者通常会利用社交工程逐渐获取目标的信息。如果攻击者能说服他们的目标在几周或几个月的时间里心甘情愿地交出看似无效的信息,攻击者就可以利用这些信息获取更多的机密信息。一旦获得所需的信息,攻击者就会脱离并自然结束互动,有时甚至不会引起目标的任何怀疑!
虽然社会工程学存在于各种攻击中,但在商业电子邮件欺诈(BEC)中尤为普遍。2022 年,联邦调查局(FBI)互联网犯罪投诉中心报告称,BEC 造成的损失超过 27 亿美元。
公司高管、高层领导、财务经理和人力资源人员经常成为 BEC 的攻击目标,因为他们更容易接触到敏感信息,如身份证号码、税务报表或其他个人身份信息。不过,新员工也面临风险,因为他们可能更容易验证陌生的电子邮件请求。一些最常见的 BEC 攻击类型包括直接电子邮件泄密、供应商电子邮件泄密、虚假发票诈骗和冒充律师。
对于BEC攻击,企业可以采取以下应对措施:
指导员工将个人账户与工作邮件或工作相关任务分开,不要混用。当员工将工作电子邮件用于个人账户时,威胁者就会冒充这些程序来获取员工的企业信息。
在企业内部强制使用 MFA。攻击者通常会寻求登录凭证等信息。启用 MFA 后,即使攻击者获得了用户名和密码,他们仍然无法访问账户和个人信息。
提醒员工不要打开可疑来源的电子邮件或附件。如果同事或供应商发送了一个必须紧急点击的链接,员工应直接向信息来源确认他们是否真的发送了该信息。
鼓励员工不要在网上过度分享个人信息或生活事件。攻击者需要目标信任他们,他们的骗局才能得逞。所以他们会从员工的社交媒体资料中找到个人信息,并利用这些信息编织起难以看破的骗局。
使用杀毒软件、防火墙和电子邮件过滤器保护公司计算机和设备的安全。在威胁进入公司设备后,企业将拥有完善的保护措施保障信息安全。
社交工程具有很强的适应性,威胁行为者会不断寻找新的方法来操纵受害者。但是,通过跟踪威胁情报和监控当前的攻击载体,企业可以加强防御,防止社交工程人员使用相同的方法危害未来的受害者。
原文始发于微信公众号(安在):如何防范社工钓鱼?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论