网安攻防 | 2024年社会工程学分析

社会工程学在AI 的加持下正变得越来越难以防范。此前，香港警方披露了一起多人 “AI换脸”诈骗案，涉案金额高达2亿港元。在这起案件中，一家跨国公司香港分部的职员受邀参加总部首席财务官发起的“多人视频会议”，并按照要求先后转账多次，将2亿港元分别转账15次，转到5个本地银行账户内。

警方调查得知，这起案件中所谓的视频会议中只有受害人一个人是“真人”，其他“参会人员”都是经过“AI换脸”后的诈骗人员。作为最基础的社会工程学方式之一，网络诈骗在“Deepfake”技术的加持下，辨别真伪的难度将会越来越大。

其实不仅仅是网络诈骗，AI也给社会工程学带来了前所未有的提升，并驱动社会工程学加速推陈出新。例如使用AI编写更具说服力的钓鱼电子邮件和消息，紧密模仿合法来源，主要用于声音克隆的深度伪造，以及AI驱动的数据挖掘等。

所谓社会工程学是指包括一系列旨在利用人为错误或人类行为的活动，目的是获取信息或服务。它使用各种形式的操纵手段来诱骗受害者犯错或交出敏感或机密信息。用户可能会被诱导打开文档、文件或电子邮件，访问网站或授予对系统或服务的访问权限。

社会工程学主要通过网络钓鱼、鱼叉式钓鱼、水坑攻击、诱饵、伪装、交换条件、蜜罐和恐吓软件等方式进行。例如，你可能会收到一条消息说你的设备已被病毒感染。虽然社会工程技术通常用于获得初步访问权限，但它们可能在事件或违规的后期阶段使用。例如商业电子邮件妥协（BEC）、欺诈、冒充、仿冒、敲诈等。

欧盟发布的官方报告显示，2023年上半年社会工程事件显著增加，并且各种形式的社会工程活动持续成为对用户的重大威胁。

根据IBM和Verizo发布的报告，由于其简单性、低成本、易于执行和盈利能力，社会工程仍然是犯罪分子最喜爱的攻击手段之一。Mandiant报告数据显示，网络钓鱼攻击是EMEA地区黑客发起攻击最常使用的手段。

钓鱼即服务（PhaaS）的出现进一步扩大了社会工程攻击的影响范围。趋势科技的数据显示，PhaaS的平均价格已经低至每天15美元，完善的功能让缺乏网络安全知识和技能的犯罪分子也可以轻易执行复杂的钓鱼攻击，并造成了社会工程攻击的泛滥。

社会工程技术被用来敲诈受害者，甚至包括更加个人化和威胁性的手段。攻击者倾向于特别针对个人进行个人威胁，并且甚至涉及他们的家庭成员，这表明这些攻击的范围有所扩展。

1. 网络钓鱼作为初始感染途径且呈上升趋势

钓鱼在网络安全组织和社区发布的大多数相关威胁报告中占据主导地位。IBM X-Force将钓鱼识别为41%事件中的初始访问途径，其次是公共面向应用的漏洞利用。Verizon DBIR报告称82%的违规事件涉及人为因素，无论是使用被盗凭证、钓鱼、误用还是简单的错误。ESET报告称，在2022年的最后四个月中，钓鱼是唯一增长的类别，因为其他网络威胁有所下降。被屏蔽的钓鱼网站数量增加了80%。

但网络钓鱼在全球分布并不均匀。例如，根据Mandiant的数据，钓鱼在全球初始访问途径中排名第二。Mandiant确定漏洞利用是最常被利用的初始感染途径（32%），其次是钓鱼（22%）、被盗凭证（14%）和之前的妥协（12%）。但在EMEA地区，钓鱼以40%的比例完全占据主导地位。Verizon DBIR识别出同样的非均匀性，在EMEA地区，社会工程相比前一年的20%，增加到几乎60%的违规事件。

只要这种方法还具有效果就会继续使用，因此网络钓鱼将继续维持最主要的初始感染途径之一，并且可能会在长期内继续维持，原因包括成本低廉、易于实施等。通过电子邮件传播威胁的主要诱饵也非常稳定，大多数伪装成通用的采购订单、发货通知和银行付款。这些通常还会结合广受关注的热门主题，例如新冠疫情、乌克兰战争、世界杯。

2. 人工智能在社会工程中的潜在应用

人工智能随着ChatGPT的引入而引起了巨大的公众关注，为新型社会工程技术提供了全新的平台。Gartner预测，启用AI的欺诈将在未来几年改变企业的攻击面。

Checkpoint指出ChatGPT完全能够编写各种钓鱼电子邮件，从简单的基础钓鱼到使用带有宏的恶意文件的鱼叉式钓鱼邮件。Darktrace研究人员观察到从2023年1月到2月，新型社会工程攻击增加了135%，这与ChatGPT的广泛采用分不开。这些攻击使用了复杂的语言技巧，包括增加文本量、标点和句子长度。生成型AI为犯罪分子提供了一条新的途径，以快速、大规模地制作复杂和有针对性的攻击。

我们预计将来会有更多使用基于AI技术的有针对性社会工程攻击。其中一个显著的应用是使用基于AI的语音克隆进行vishing（电话欺诈）攻击。语音克隆是使用真人的音频录音创建合成声音的过程。攻击者可以通过捕获一个人的声音样本来创建克隆，这可以通过从YouTube、TikTok或任何其他社交网络上拉取视频来实现，几秒钟就足以创建一个合理的假声音。

网络犯罪分子正在使用AI克隆人们的声音，假装是朋友或家庭成员，并诈骗受害者的钱财。美国联邦贸易委员会发出了关于攻击者假装是有麻烦的家庭成员并索要钱财的电话警告，例如由于汽车故障或入狱需要支付律师费用。在另一个案例中，攻击者假装受害者的女儿哭着打电话说她被绑架了；随后攻击者要求以赎金的形式索要钱财。

基于AI的vishing攻击不仅针对公众，也针对企业。第一次针对企业的攻击发生在2019年，当时网络犯罪分子使用语音克隆在电话中冒充CEO，并说服一家英国公司的CEO转账24.3万美元到攻击者的账户。在当时这是一个非常罕见的案例，但预计将来类似攻击会激增。

通过AI来挖掘数据已经成为现实。攻击者正在使用AI来识别潜在目标，并确定社会工程攻击的最有效方法，从而增加成功的可能性。自动化数据收集和创建有说服力的信息可以显著增强此类攻击的潜在影响力。

3. 滥用多因素身份验证

据微软公布的数据，MFA的使用率从一年前的22%上升到了28%。虽然这仍然是一个较低的数字，但已经足够使犯罪分子开发新技术来滥用多因素身份验证。目前有几种新颖的方法绕过多因素身份验证：MFA疲劳攻击、中间人攻击（AitM），以及SIM卡交换。

MFA疲劳攻击也被称为MFA轰炸或MFA垃圾邮件攻击，滥用通过智能手机的推送通知。在使用盗取的凭证后，犯罪分子会不断地向用户发送重复的推送通知，诱导用户同意。2022年9月Lapsus$对Uber的入侵就有类似操作。攻击者在暗网上购买了用户密码，并反复尝试登录Uber账户。用户源源不断收到双因素登录请求，最终该用户接受了其中一个请求，攻击者也因此成功获得了对Uber公司基础设施的访问权限。

中间人攻击是指攻击者将自己置于受害者和能够通过反向代理功能绕过MFA的合法服务之间的技术。在攻击过程中，犯罪分子截获用户密码和MFA令牌，从而获得初始访问权限。Zscaler曾发现一场针对美国、英国、新西兰等地的大规模钓鱼活动，其独特之处在于攻击者使用了一个自定义的钓鱼工具包，允许中间人技术绕过多因素身份验证，直接从受害者登录中提取的合法登录页面。

SIM卡交换也称为SIM卡劫持，受害者的电话号码被转移到诈骗者的SIM卡上。该攻击允许犯罪分子截获通过短信发送的一次性密码或验证语音电话。Mandiant报告了UNC3661和UNC3944犯罪分子使用这种技术；CrowdStrike报告了Scattered Spider使用它。

4. 现实世界中的社会工程学

Mandiant在预测报告中指出，一种新的社会工程模式正在出现。犯罪分子使用最普遍的技术是QR码（二维码）以及USB钥匙。当受害者用智能手机或其他设备扫描恶意QR码时，会被重定向到一个恶意网站或文件，或者自动将恶意软件下载到受害者的设备上，允许攻击者窃取敏感信息或控制该设备。

尽管这是一种相当古老的技术，但是其使用率依旧有所上升。法国邮政服务的假送货通知单事件就是如此，直接将恶意软件分发到受害者的实体邮箱中。美国旧金山也曾有类似案例，攻击者使用假停车罚单将受害者引向一个支付网站。

UNC3840犯罪分子曾通过BIRDBAIT LNK下载器来部署多个恶意软件家族。Mandiant发现该活动使用恶意软件作为按装付费服务，为其他犯罪分子提供了入侵途径。UNC4191主要针对位于东南亚的一系列公共和私营部门实体，但也针对美国、欧洲和大洋洲地区。该活动始于2022年4月，持续了一整年，并利用感染了的USB设备作为活动的初始入侵途径。UNC53针对全球各种行业。该团体通过感染了的USB驱动器获得受害者环境的初始访问权限，利用合法的二进制文件来侧加载恶意DLL和加密负载。

5. 从宏到ISO、OneNote、LNK文件

微软在2022年1月默认禁用了过时的Excel 4.0宏。从2022年7月开始，在运行Access、Excel、PowerPoint、Visio和Word应用的Windows设备上，默认阻止来自互联网的VBA宏。由于带有宏的文件是钓鱼和鱼叉式钓鱼电子邮件中使用的主要技术，犯罪分子被迫改变他们的策略和技术，向LNK、OneNote和ISO/ZIP文件转变，以应对微软的宏更改。

由于LNK文件可以在系统上执行任何文件并附带参数（路径、参数等），犯罪分子通常调用合法应用程序如PowerShell、CMD和MSHTA来下载恶意文件。分发LNK文件主要有两种策略，一是有效载荷可以直接在LNK文件内部传递，或者恶意LNK文件可以插入到微软Office文档中。第二种方法是继续使用被封装在类似容器的ISO或ZIP文件中传递的带有宏的MS office文档。基于Web标记（MOTW）属性来阻止宏，该属性标记了从网上下载的文件。然而，将文件放入ISO或ZIP中，只会在附件本身上放置MOTW标记，而不是内部文件上，这允许宏启用文档的传递未被检测到。

这两种策略在2023年被犯罪分子大量使用，McAfee和Talos也曾报告了多个恶意软件活动，观察到了这种策略的转变，包括Emotet、IcedID和Qakbot。

6. 钓鱼工具包和钓鱼即服务（PhaaS）

钓鱼即服务是犯罪即服务（CaaS）的一种，此外还有勒索软件即服务（RaaS）、访问即服务（AaaS）等。PhaaS允许即使只具备入门级网络安全知识的人都能从钓鱼攻击中获益。据趋势科技发布的报告，钓鱼工具包的价格约为每天15美元，再加上一定比例的勒索支付收益，或者是固定费用40美元。服务和工具包具有完善的发起钓鱼攻击所需的能力，包括电子邮件模板、伪造网站模板、潜在目标的联系人列表、执行攻击的详细指南、绕过垃圾邮件过滤器的能力、绕过多因素认证的能力、监控结果的面板以及获取客户支持的访问权限等。

IBM X-Force曾对来自世界各地的数千个钓鱼工具包进行了大规模分析，发现工具包的部署时间更长，触及更多用户，并且更多地针对个人数据而不是信用卡数据。几乎每个针对钓鱼工具包的分析都强调收集个人姓名信息，比例达到98%。紧随其后的是电子邮件地址，占73%，家庭地址占66%，密码占58%。目前钓鱼工具包的使用寿命有所增长，中位数部署时间约为3.7天；在影响方面，平均每个工具包约影响90人，单次钓鱼攻击记录的最大受害者数量超过了4000。

Akamai Security Research曾发现一个高度复杂的钓鱼工具包。该工具包使用了一系列社交工程、多种逃避检测技术和访问控制来绕过安全措施。Mandiant报告了一个名为Caffeine的PhaaS平台，这个平台的独特之处在于它具有完全开放的注册过程，允许任何拥有电子邮件的人注册他们的服务。更高级的钓鱼工具包提供了克服多因素认证的服务，例如在前一节中描述的中间人对抗技术（AitM）。

7. 对 Web3 生态系统的攻击增加

加密货币仍然是网络犯罪分子从受害者那里获取支付的最主要手段，且这一趋势正在持续，并扩展到整个 Web3 生态系统，包括加密货币交易所、加密货币所有者、非同质化代币（NFT）、跨区块链连接机制，甚至在线游戏。FBI表示，2023年与加密货币相关的欺诈案件中受害者数量和损失上升幅度达183%。Sonicwall 报告也指出，即使在包括比特币在内的加密货币价值下跌时，加密货币相关的钓鱼活动依旧保持稳定和持续。

在NFT 空投骗局中，犯罪分子通常会创建钓鱼页面和社交媒体账户，通过社交工程诱骗受害者连接他们的钱包，窃取加密货币和其他NFT。Mandiant 报告了一场持续数月的广泛加密货币钓鱼活动，其中数千个智能合约被用来向超过一百万用户发送恶意 NFT。当受害者连接他们的钱包时，攻击者能够收集并转移资产，然后被迅速出售，资金通过各种区块链转移。

2023年2月，攻击者在恶意网站上推广假的 BLUR 代币链接，并成功从受害者那里窃取了超过30万美元的资金。2022年7月，一个犯罪分子利用免费 UNI 代币诱惑、欺骗受害者，使他们授予黑客完全访问受害者钱包的权限，导致被盗走800万美元。

“杀猪盘”是一种加密货币投资骗局，是一种新型的骗局，涉及犯罪分子获得受害者的信任，然后诱使他们向加密投资账户存款，提供虚假的回报以鼓励更多投资。受害者通常可以在假冒的网站和应用上追踪他们的投资，这些网站和应用显示眼花缭乱的增长。该计划的运营者后来进行了“屠宰”部分。当受害者试图兑现投资时，他们被告知需要支付所得税或额外费用，导致他们损失更多资金。最后，攻击者切断与受害者的联系，并带着他们的加密货币消失，事实上，当受害者相信并开始将钱投入进来时，骗局就已经结束了。

8. 不使用勒索软件的勒索行为在上升

勒索行为曾经主要与勒索软件和勒索软件团伙有关，但现在不使用勒索软件的勒索行为持续上升。CrowdStrike 报告指出，进行数据盗窃和勒索活动的事件数量增加了20%，而且都没有部署勒索软件。不使用勒索软件的勒索攻击通常包括DDoS攻击恐吓、公布数据或向客户或监管机构报告数据泄露。2023年关于数据加密的双重和三重勒索威胁出现概率持续攀升，攻击者在勒索过程中使用了不同的社交工程技术，这些技术包括更个人化和更具威胁性的手段。

网络犯罪分子在进行勒索软件攻击和协调解密过程中表现出相当高的专业性。犯罪分子采用了通常由IT服务组织提供的服务。除了在初始访问阶段进行钓鱼或鱼叉式钓鱼，威胁团体几乎不与受害者沟通。网络犯罪分子往往使用不同的方法，在网络攻击的不同阶段采用社交工程技术，积极威胁个人并试图获取系统访问权限。

攻击者倾向于用个人威胁特别针对个人，并涉及他们的家庭成员，这表明这些攻击的范围正在进一步发展。恶意攻击者正在将个人及其家庭视为在其侵入行动中追求利润的可接受目标，因此企业在设立安全防护策略时应当考虑这种攻击面的变化。