社会工程的五大认知误区
当今绝大多数网络攻击都运用了社会工程学方法,但根据Proofpoint的最新报告,企业安全团队和用户对社会工程普遍存在五大认知误区,这导致网络攻击屡屡得手,屡试不爽。
报告指出:“尽管防御者尽了最大努力,网络犯罪分子仍频频得手,每年诈骗勒索企业数十亿美元。企业网络安全策略总是优先加强物理和基于云的基础设施的防御,而疏忽了人员这个切入点。因此,大量社会工程攻击技术和内容不断被开发出来,以利用人类的行为和注意力。”
以下是报告发现的五大社会工程认知误区:
1、攻击者不与受害者“聊天”
报告称,人们有一个错误的印象,那就是网络攻击都是纯数字化的操作,攻击者都是在阴暗角落中不苟言笑的键盘侠,不会花时间和精力与受害者交谈以建立融洽关系。去年,研究人员观察到越来越多的网络攻击都会先发送良性电子邮件以启动对话。“有效的社会工程攻击策略是先骗取用户的信任和情感,在精神上驱使他们参与攻击活动。通过发送能够诱骗用户产生虚假安全感的良性电子邮件,攻击者为下一步的攻击和利用建立良好的关系基础。”报告中写道。
报告观察到多个商业电子邮件泄露(BEC)、恶意软件分发和国家黑客组织(TA453、TA406和TA499)的高级持续威胁(APT)活动选择使用“良性”对话发起攻击。
2、社会工程不会使用合法服务
用户通常会选择信任来自合法和可信来源的服务和内容,例如合法的网站、网盘、邮箱地址等,但今天的攻击者经常滥用合法服务,例如云存储提供商和内容分发网络来托管和分发恶意软件或收集账户信息。
报告指出:“今天,攻击者可能更喜欢通过合法服务分发恶意软件,因为与恶意文档相比,它们更有可能绕过电子邮件中的安全保护。减轻托管在合法服务上的威胁仍然是一个难以防御的攻击矢量,因为它可能需要实施强大的检测技术系统,或与业务相关的基于策略的服务阻止。”报告中写道。
3、攻击者只使用电脑,而不是电话
有一种趋势认为社会工程攻击仅限于电子邮件,但Proofpoint检测到攻击者在邮件钓鱼中开始越来越多地使用类似呼叫中心(涉及通过电话的人工沟通)的复杂系统。“电子邮件本身不包含恶意链接或附件,个人必须主动拨打电子邮件中的虚假客户服务号码才能与攻击者互动。Proofpoint每天观察到超过25万例此类攻击。”
该报告发现有两种类型的呼叫中心威胁活动——一种使用免费、合法的远程协作软件来窃取资金,另一种使用伪装成文件的恶意软件来破坏计算机(通常与BazaLoader恶意软件相关,通常称为BazaCall)。这两种攻击类型都是面向电话的攻击实施(TOAD)。遭遇此类攻击的受害者可能会损失数万美元。
4、回复合法的电子邮件对话是安全的
报告显示,越来越多的欺诈者开始通过劫持合法电子邮件对话来实施攻击(例如前不久搜狐员工遭遇的OA邮件攻击),与陌生邮件相比,现有或合法电子邮件对话能给用户很强的信任感和安全感,攻击者会利用人们对现有电子邮件对话的信任。
为了成功劫持现有(合法邮件)对话,攻击者首先需要获得合法用户收件箱的访问权限,这可以通过各种方式获得,包括网络钓鱼、恶意软件攻击、黑客论坛上可用的凭据列表或密码喷洒技术。攻击者甚至还可以劫持整个企业电子邮件服务器或邮箱,并自动从攻击者控制的僵尸网络发送回复。“在2021年,Proofpoint观察到超过500个劫持邮件会话的活动,与16个不同的恶意软件系列相关。包括TA571、TA577、TA575和TA542在内的主要威胁参与者经常在活动中使用线程劫持手段。”
5、欺诈者仅使用与业务相关的内容作为诱饵
报告指出,虽然攻击者通常会针对业务人员,但社会工程攻击却未必一定会使用业务相关内容作为诱饵。事实上,攻击者一直在大量利用时事、新闻和流行文化来吸引人们点击恶意内容。该报告列举了去年采取这种方法的几次攻击案例,包括:
- BazaLoader利用鲜花和内衣等情人节主题进行攻击
- TA575使用奈飞网剧“鱿鱼游戏”的主题分发Dridex银行木马,针对美国用户
- 以美国国税局(IRS)为主题的活动利用潜在受害者应获得额外退款的想法来获取各种个人识别信息(PII)
- 整个2021年,平均每天有超过600万个与新冠疫情主题相关的攻击
总结:企业必须对员工进行社会工程安全培训,消除误区
再先进的网络安全技术和循证科学管理也无法弥补“人员漏洞”。社会工程攻击的技术和策略正在不断创新,企业必须组织有针对性的员工安全意识培训,以提高其对社会工程威胁的正确认识,修补认知漏洞。“对于企业而言,最有效的做法是将安全文化转化为一种态势(威胁)感知能力。”
《如何破解人类:心灵的网络安全》一书的作者,网络安全顾问Raef Meeuwisse指出:员工需要接受教育,当今“优秀”的社会工程攻击已经达到以假乱真的地步。例如,勒索软件组织Lapsus$甚至会通过合法的安全平台向目标员工推送合法的移动多因素身份验证请求,很多受害者都毫无戒备地批准了验证请求。
Meeuwisse还建议企业认识到风险并不总是来自组织外部。安全意识培训的重点往往是如何报告、检查和监控那些来自外部的伪装人员或恶意内容,但许多组织都低估或者掩饰了内部威胁,因为流氓内部行为造成的重大违规行为很少向媒体披露。但统计数据表明,流氓内部人员是一个大问题。如果一个组织几乎没有进行背景调查,没有匿名举报机制,或者(在他见过的两个案例中)有一个流氓内部人员负责审查其他流氓内部人员,那么企业的社会工程防御将形同虚设。