攻击者如何利用社交工程取得成功

根据微软发布的《2023年数字防御报告》数据显示，网络钓鱼攻击已成为去年第三大最常见的威胁媒介，占所有成功攻击的25%。

网络钓鱼攻击之所以频繁出现并取得成功，部分原因在于其运用社交工程技巧来提高攻击效率。据统计，目前90%的网络钓鱼攻击利用社交工程学策略诱导受害者泄露敏感信息、点击恶意链接或打开含有恶意代码的文件。攻击者常通过制造虚假的紧迫感、诱导受害者产生情绪波动或利用受害者的既有习惯，以达到其攻击目的。

当组织试图抵御网络钓鱼和其他常见网络威胁时，必须深入了解攻击者如何利用人类行为弱点以实现其目标。

社交工程是如何工作的？

社交工程攻击往往是一个复杂且耗时的过程。攻击者可能需要花费数月时间进行精心策划和细致的信息收集，以与受害者建立稳固的信任关系。一旦建立信任，攻击者就能操纵受害者做出不符合其性格和日常行为的决策，例如点击含有恶意代码的电子邮件链接。为达目的，攻击者常利用紧迫感、情感和习惯等人类行为杠杆来诱导受害者采取特定行动。

社交工程攻击通常始于详尽的调查。攻击者会确定目标并搜集相关背景信息，如潜在的安全漏洞或公司的安全协议。在此基础上，攻击者会尝试与目标建立信任关系，并设计各种场景以吸引目标上钩并引导互动过程，从而实现其目的。

以威胁组织Octo Tempest为例，该组织在2022年初发起了一系列范围广泛的活动，利用中间人（AiTM）技术、社交工程和SIM卡交换功能等多种手段。他们最初以移动电信和业务流程外包组织为目标，通过SIM卡交换等方式获取信息，后逐渐扩大攻击范围至有线电信、电子邮件和技术组织。该组织通过研究目标组织的架构和人员构成，发起社交工程攻击，成功冒充受害者并诱导技术管理员执行密码重置和多因素身份验证（MFA）操作。此外，他们还尝试冒充新员工，混入正常的招聘流程以实施进一步的攻击。

在社交工程攻击中，攻击者往往会逐步收集目标的个人信息。通过诱导目标在长时间内自愿分享看似无害的观点和信息，攻击者能够逐渐积累足够的数据来实施更深入的攻击。一旦获取所需信息，攻击者便会迅速撤离，整个过程中往往不会引起目标的怀疑。

企业如何防范社交工程欺诈？

社交工程学策略在各种攻击中均有所体现，尤其是在商业电子邮件欺诈（BEC）中更为普遍。据2022年联邦调查局（FBI）互联网犯罪投诉中心报告，BEC已造成超过27亿美元的损失。

企业高管、领导层、财务经理和人力资源人员常常是BEC的主要攻击目标，因为他们掌握着如社会安全号码、税务报表等敏感信息。同时，新员工也面临风险，因为他们可能更容易验证陌生的电子邮件请求。常见的BEC攻击类型包括直接电子邮件泄密、供应商电子邮件泄密、虚假发票诈骗和冒充律师等。

为有效应对这一威胁，企业需要采取一系列策略：

1、引导员工避免将个人账户与工作邮件混淆使用。当员工将工作电子邮件用于个人账户时，会增加被威胁行为者利用的风险，进而威胁到企业的信息安全。

2、在企业内部推广并强制执行多因素身份验证。这能有效防止攻击者通过获取登录凭证等方式入侵员工账户。即使攻击者获得了用户名和密码，启用MFA后，他们仍无法访问账户和个人信息。

3、教育员工不随意打开来源不明的电子邮件或附件。当收到同事或承包商发送的紧急链接时，员工应直接与信息来源确认其真实性。

4、鼓励员工在社交媒体上谨慎分享个人信息和生活事件。攻击者需要获取目标的信任，而员工的个人信息正是他们建立信任的关键。因此，减少个人信息的泄露有助于降低被社交工程欺诈的风险。

5、利用防病毒软件、防火墙和电子邮件过滤器等技术手段，保护公司计算机和设备的安全。这些措施能在威胁进入公司设备时提供有效的保护，确保信息安全。

社交工程具有很强的适应性，威胁行为者会不断寻找新的方法诱骗受害者。因此，企业需要跟踪威胁情报和监控当前的攻击载体，以便及时调整防御策略，防止社交工程人员使用相同的方法进行欺诈。

参考链接：

https://www.csoonline.com/article/1311470/how-attackers-leverage-social-engineering-for-greater-scamming-success.html