社會(huì)工程滲透測試僅僅是防止員工落入網(wǎng)絡(luò)罪犯陷阱的一個(gè)步驟。

社會(huì)工程攻擊不是是否會(huì)發(fā)生的問題，而是一定會(huì)發(fā)生。員工終究會(huì)接到“緊急”電子郵件或電話，要求他們趕緊轉(zhuǎn)賬到安全賬戶、立即登錄企業(yè)網(wǎng)絡(luò)，或者安裝遠(yuǎn)程訪問木馬。社會(huì)工程攻擊一直以來都是網(wǎng)絡(luò)罪犯確保高成功率的不二法門。但新冠肺炎疫情導(dǎo)致的遠(yuǎn)程辦公增長，還是將社會(huì)工程技術(shù)轉(zhuǎn)變成了前所未有的充滿無限創(chuàng)造力和景氣度的工具。

[[397308]]

在家辦公時(shí)，員工無法獲得公司安全解決方案提供的全方位防護(hù)，只能依賴自己的直覺，而這正是網(wǎng)絡(luò)安全團(tuán)隊(duì)最糟的噩夢。意識(shí)到這場災(zāi)難的規(guī)模后，很多公司迅速開展員工安全意識(shí)培訓(xùn)。

為評(píng)估問題的范圍，Group-IB在一家物流公司開展了社會(huì)工程滲透測試項(xiàng)目。測試采用了新冠肺炎疫情相關(guān)的釣魚托辭，呈現(xiàn)了員工對(duì)此類話題絲毫不減的“熱情”。Group-IB將精心編制的網(wǎng)絡(luò)釣魚電子郵件通過貌似歸屬公司IT部門的虛假郵箱地址發(fā)送出去。超過半數(shù)(51%)的測試對(duì)象在虛假虛擬專用網(wǎng)門戶登錄頁面上提交了他們的登錄憑證。

▶ 某些社會(huì)工程攻擊比其他攻擊更有效

社會(huì)工程攻擊測試項(xiàng)目還揭示出，某些攻擊技術(shù)比其他技術(shù)更加有效。2020年該公司開展的100多個(gè)社會(huì)工程攻擊測試項(xiàng)目中，語音電話(“語音網(wǎng)絡(luò)釣魚”)的有效程度優(yōu)于內(nèi)置虛假資源鏈接或可執(zhí)行附件的網(wǎng)絡(luò)釣魚電子郵件。語音網(wǎng)絡(luò)釣魚的成功率為37%，因受害者通常不會(huì)預(yù)期接到此類電話而上鉤率驚人。此外，攻擊者可以調(diào)整腳本以匹配受害者行為的變化，并利用他們的情緒。

除了獲取個(gè)人或機(jī)密信息，語音網(wǎng)絡(luò)釣魚攻擊還可用于獲取基礎(chǔ)設(shè)施訪問權(quán)。近期的一個(gè)案例中，Group-IB的滲透測試員以進(jìn)行安全事故調(diào)查為借口，成功說服23名員工在備份門戶(網(wǎng)絡(luò)釣魚資源)上進(jìn)行身份驗(yàn)證。

語音網(wǎng)絡(luò)釣魚結(jié)合網(wǎng)絡(luò)釣魚(即有通往虛假資源的鏈接，又添加了可執(zhí)行附件)更是極致高效：2020年75%的社會(huì)工程攻擊測試成功突破測試對(duì)象防護(hù)。至于釣魚托辭，效率最高的是獎(jiǎng)金制度的變化(成功率20.6%)，IT系統(tǒng)的變化(17.8%)緊隨其后，然后是公司重要活動(dòng)的公告(16.3%)。

▶ 執(zhí)行更多測試未必能解決問題

鑒于以上統(tǒng)計(jì)數(shù)據(jù)，你可能會(huì)覺得執(zhí)行更多社會(huì)工程滲透測試有助于提高員工的網(wǎng)絡(luò)釣魚防范意識(shí)。但實(shí)際上并非如此，因?yàn)闈B透測試如果不與其他措施一并實(shí)施是沒有效果的。如果你決定攻擊一下自己試試，那你需要做得明智些。

可以參考下面這個(gè)案例。X公司時(shí)不時(shí)對(duì)自己的員工開展社會(huì)工程攻擊測試。但對(duì)基本網(wǎng)絡(luò)安全概念的認(rèn)知還是沒有改善：員工繼續(xù)點(diǎn)擊惡意鏈接和滿足攻擊者提出的要求。

于是，這家公司決定正式確立其測試計(jì)劃，要用不同的釣魚托辭以相同的形式每年執(zhí)行四次社會(huì)工程攻擊測試。但結(jié)果與之前更為隨意的測試并沒有什么不同：員工仍然點(diǎn)擊惡意URL，仍然與滲透測試員溝通，仍然交出機(jī)密信息。

而且，測試的有效性很大程度上取決于釣魚托辭的相關(guān)性。盡管每次測試的安全意識(shí)提升效果都會(huì)增加一點(diǎn)點(diǎn)，但在第三季度，基于新冠肺炎疫情的釣魚托辭又讓員工完全忘記了之前收到的所有培訓(xùn)、指南和建議。原來，該公司壓根兒沒有開展其他任何安全意識(shí)提升活動(dòng)，僅僅只搞了測試。

▶ 網(wǎng)絡(luò)安全培訓(xùn)缺失了什么

研究還發(fā)現(xiàn)，員工并不知道在發(fā)現(xiàn)社會(huì)工程攻擊后該怎么做。他們不僅需要知道如何識(shí)別攻擊，還需要學(xué)會(huì)怎樣應(yīng)對(duì)攻擊。公司應(yīng)該培訓(xùn)員工在任何情況下都不要聯(lián)系攻擊者(或合法滲透測試員)，而是立即通知安全團(tuán)隊(duì)。但不幸的是，用戶(尤其是小公司里的用戶)往往意識(shí)不到這一點(diǎn)。

最重要的是，對(duì)自己展開攻擊測試不應(yīng)該是簡單直白的實(shí)戰(zhàn)演習(xí)。沒錯(cuò)，經(jīng)常培訓(xùn)員工識(shí)別各種潛在社會(huì)工程方法、對(duì)所有外部邊界服務(wù)實(shí)施強(qiáng)制雙因子身份驗(yàn)證，還有采用有效惡意軟件引爆工具，這些都很重要。但更重要的是，培訓(xùn)和社會(huì)工程攻擊測試應(yīng)該旨在確保公司內(nèi)部的有效溝通。需要教導(dǎo)員工如何檢測攻擊和及時(shí)有效地應(yīng)對(duì)攻擊。他們需要明確的指示和交互式指南(如維基頁面、視頻等等)。

有創(chuàng)意一點(diǎn)。在學(xué)習(xí)體驗(yàn)中大膽加入游戲元素，激發(fā)和最大化參與度。比如說，Group-IB最近的內(nèi)部滲透測試中，檢測并恰當(dāng)報(bào)告了社會(huì)工程攻擊的員工就收到了成就徽章，可以兌換公司獎(jiǎng)勵(lì)。

此外，每次滲透測試后召開回顧會(huì)議收集反饋也很重要。不討論出了什么問題以及如何改進(jìn)，就無法汲取教訓(xùn)做出改善。

把注意力從常規(guī)演練和記憶社會(huì)工程攻擊檢測指令上移開，轉(zhuǎn)向解釋現(xiàn)代攻擊都來自何方，以及為什么每名員工都必須參與攻擊檢測。社會(huì)工程滲透測試如果缺乏有意識(shí)的創(chuàng)造性方法，那怎么培訓(xùn)都不會(huì)有效果的。