相比依賴高級(jí)工具或復(fù)雜腳本，經(jīng)驗(yàn)豐富的攻擊者往往選擇用最有效的武器——社交攻擊——來(lái)入侵系統(tǒng)并竊取數(shù)據(jù)。社交攻擊位于網(wǎng)絡(luò)安全與心理學(xué)的交叉點(diǎn)，利用人類行為來(lái)達(dá)成惡意目的。

從Kevin Mitnick的傳奇騙局到當(dāng)今由AI驅(qū)動(dòng)的威脅，網(wǎng)絡(luò)犯罪分子一路走來(lái)，不斷進(jìn)化戰(zhàn)術(shù)。近年來(lái)，社交攻擊變得更加戰(zhàn)略化和精準(zhǔn)化。

攻擊者不再單純追求從盡可能多的人身上騙取小額資金，而是主要瞄準(zhǔn)企業(yè)內(nèi)部具有廣泛權(quán)限的關(guān)鍵人員，這類目標(biāo)通常擁有較高的網(wǎng)絡(luò)訪問(wèn)權(quán)限、可使用遠(yuǎn)程工具和敏感數(shù)據(jù)，或者具備執(zhí)行大額金融交易的能力。

AI驅(qū)動(dòng)的犯罪“情報(bào)”

AI的崛起也滲透到社交攻擊之中，攻擊者會(huì)構(gòu)造虛假的身份和場(chǎng)景，讓受害者基于錯(cuò)誤的假設(shè)而“不得不”服從其指令。網(wǎng)絡(luò)犯罪分子常冒充合作伙伴、客戶或高層管理人員來(lái)誘騙受害者，例如要求其轉(zhuǎn)賬。

近期，一家大型資產(chǎn)管理公司就遭遇了類似攻擊。調(diào)查發(fā)現(xiàn)，攻擊者事先做了大量調(diào)研，專門(mén)鎖定了財(cái)務(wù)部門(mén)的一名高管。

攻擊流程是這樣的：首先發(fā)來(lái)一份看似來(lái)自DocuSign的虛假保密協(xié)議(NDA)，冒充該公司現(xiàn)有合作伙伴。經(jīng)理簽署文件后，被要求撥打郵件中的聯(lián)系電話，但無(wú)人接聽(tīng)。第二天，他收到了所謂“合作伙伴”和其CEO的回電。在會(huì)議電話中，“CEO”確認(rèn)了NDA的真實(shí)性，并稱需要支付一筆定金才能開(kāi)始項(xiàng)目。結(jié)果，這名財(cái)務(wù)負(fù)責(zé)人轉(zhuǎn)賬了100萬(wàn)歐元。

調(diào)查顯示，真正的CEO從未參與過(guò)通話。攻擊者利用AI克隆了CEO的聲音，從而操縱了受害者的判斷。

釣魚(yú)郵件“雨點(diǎn)般落下”

與其他網(wǎng)絡(luò)攻擊不同，社交攻擊并不依賴?yán)么a或網(wǎng)絡(luò)架構(gòu)的漏洞，而是利用人類行為——而人在安全鏈條中往往是最薄弱的一環(huán)。尤其是在繁忙壓力下，人更容易上當(dāng)。

例如，戰(zhàn)略性社交攻擊攻擊往往分兩步：

步驟1：制造問(wèn)題

攻擊者人為制造技術(shù)問(wèn)題來(lái)增強(qiáng)其騙局的可信度。常見(jiàn)方式是郵件轟炸或“灰色郵件”泛濫——攻擊者用受害者的郵箱注冊(cè)大量服務(wù)，導(dǎo)致其收到成千上萬(wàn)封合法郵件。某個(gè)案例中，一名受害者在不到兩小時(shí)內(nèi)收到了3000封郵件。

步驟2：自稱“救星”

隨后，冒充“服務(wù)臺(tái)經(jīng)理”的人會(huì)打電話來(lái)“幫忙解決問(wèn)題”，以便受害者能夠繼續(xù)工作。攻擊者往往趁機(jī)套取登錄憑證，或通過(guò)電話誘導(dǎo)受害者授予桌面訪問(wèn)權(quán)限。在所謂的“緊急情況”中，這一伎倆屢屢成功。

虛假的“團(tuán)隊(duì)協(xié)作”

近年來(lái)，復(fù)雜的語(yǔ)音釣魚(yú)攻擊也顯著增多。例如，黑客組織Black Basta會(huì)利用合法的Microsoft Teams登錄信息來(lái)博取信任，通過(guò)“Helpdesk”“Support Team”或“Helpdesk Manager”的身份發(fā)起Teams通話。

攻擊者冒充企業(yè)內(nèi)部IT人員，引導(dǎo)受害者使用 Windows 內(nèi)置的“Quick Assist”應(yīng)用。由于這是合法工具且不會(huì)觸發(fā)安全警告，其行為更具迷惑性。隨后，他們會(huì)誘導(dǎo)受害者輸入組合鍵“Ctrl + Windows鍵 + Q”來(lái)生成遠(yuǎn)程訪問(wèn)碼。

這樣，攻擊者即可遠(yuǎn)程接管受害者電腦，并進(jìn)一步提升權(quán)限，在系統(tǒng)間橫向移動(dòng)。在某個(gè)案例中，短短幾天內(nèi)，攻擊者就從整個(gè)環(huán)境中竊取了數(shù)TB數(shù)據(jù)。

安全管理者能做什么

要讓員工完全避免落入復(fù)雜的社交攻擊陷阱，難度極大。但通過(guò)技術(shù)與人員管理結(jié)合，仍能降低成功攻擊的可能性：

? 限制通信范圍：Teams和Zoom都提供僅允許與受信任域名或組織通信的選項(xiàng)。雖然實(shí)施和維護(hù)需要時(shí)間，但這是非常有效的措施。

? 控制遠(yuǎn)程訪問(wèn)：一些攻擊者利用視頻會(huì)議應(yīng)用自帶的遠(yuǎn)程功能。Zoom和Teams均可設(shè)置是否允許外部參與者在通話中遠(yuǎn)程訪問(wèn)屏幕。企業(yè)應(yīng)根據(jù)自身需求仔細(xì)審查這些功能并合理配置。

? 實(shí)施條件式訪問(wèn)：條件訪問(wèn)是強(qiáng)化訪問(wèn)控制的關(guān)鍵，其本質(zhì)是“如果…那么…”的邏輯。例如：如果用戶想訪問(wèn)某個(gè)資源，就必須進(jìn)行某個(gè)操作;如果要使用Microsoft 365，就必須完成多因素認(rèn)證。安全團(tuán)隊(duì)可根據(jù)地理位置、用戶類型、應(yīng)用或令牌保護(hù)策略來(lái)限制訪問(wèn)。

歸根結(jié)底，所有安全措施的目標(biāo)都是降低爆炸半徑，即減少單個(gè)被攻陷賬戶可能造成的潛在損害。無(wú)論攻擊者如何行事，最終目標(biāo)幾乎都指向企業(yè)的敏感數(shù)據(jù)。因此，員工保護(hù)與安全意識(shí)建設(shè)必須從這一點(diǎn)切入。