信任是人際關(guān)系的核心，我們每天都本能地進行信任評估。這些決策往往是在潛意識中進行的，它指導(dǎo)我們的行為方式、我們投票支持的人、我們處理的業(yè)務(wù)以及我們對事情結(jié)果的信心。不幸的是，出于所有這些原因，信任也是每個犯罪分子的首選武器之一。從知道居民們信任他們的社區(qū)足以在炎熱的天氣里打開窗戶的入室竊賊，到騙取老婦人畢生積蓄的騙子，信任是首選的武器。

就像其他犯罪分子一樣，網(wǎng)絡(luò)犯罪分子濫用信任，使用通常稱為“社會工程”的策略來訪問我們的數(shù)字系統(tǒng)并以多種方式竊取數(shù)據(jù)。但社會工程并不是濫用信任的唯一途徑。了解他們?nèi)绾卫梦覀冨e誤的信任決策是防御的第一步。  

濫用數(shù)字信任通常涉及利用我們在日常數(shù)字生活中使用的應(yīng)用程序或工具來處理我們的業(yè)務(wù)或個人事物。這是一種越來越多地被壞人用來執(zhí)行惡意操作的技術(shù)，例如發(fā)送惡意軟件或網(wǎng)絡(luò)釣魚頁面的鏈接。

網(wǎng)絡(luò)釣魚背后的一個含義是數(shù)字信任的武器化：攻擊者利用受害者信任和熟悉的知名品牌。任何類型的工具、應(yīng)用程序或在線服務(wù)都可能被惡意模仿。這就解釋了為什么被模仿最多的品牌通常是由領(lǐng)英、谷歌、亞馬遜和微軟等在我們的數(shù)字生活中發(fā)揮重要作用的公司領(lǐng)導(dǎo)的。當然，網(wǎng)絡(luò)釣魚背后的另一個含義是對人性的利用；例如，挑逗受害者的好奇心或制造緊迫感（如需要支付的運費發(fā)票）。第二個方面解釋了為什么像 DHL 這樣的品牌經(jīng)常排在排行榜的首位：留下來自受信任品牌的鏈接邀請確實是一個非常有效的方式。從攻擊者的角度來看，信任和好奇心（或緊迫性）的結(jié)合是致命的。

同樣，利用合法的云服務(wù)?來分發(fā)惡意內(nèi)容（例如惡意軟件或網(wǎng)絡(luò)釣魚頁面）是一種網(wǎng)絡(luò)釣魚技術(shù)，這種技術(shù)在過去幾年中變得越來越普遍，這得益于員工的分布以及隨之而來的對云服務(wù)的日益普及（和信任）。在這種情況下，攻擊者不僅利用了個人（看到熟悉的品牌和合法證書）對云應(yīng)用的數(shù)字信任，還利用了組織（他們認為云提供商受信任，因此他們不會對非云網(wǎng)絡(luò)流量強制執(zhí)行相同的安全控制）對云應(yīng)用的數(shù)字信任。攻擊者還依賴一些額外的因素來增加攻擊的成功率；例如，他們無需擔心基礎(chǔ)設(shè)施的準備工作，而可以從隨時準備就緒、可用且有彈性的基礎(chǔ)設(shè)施發(fā)起攻擊。根據(jù)最新的 Netskope?云和威脅報告顯示，在過去 12 個月中，47% 的惡意軟件是由云應(yīng)用分發(fā)的。

同一份Netskope 報告還發(fā)現(xiàn)，搜索引擎優(yōu)化 (SEO) 是一種越來越普遍的用于武器化數(shù)字信任的技術(shù)。為了證實這一趨勢，網(wǎng)絡(luò)釣魚下載量在過去 12 個月一直在上升，攻擊者使用SEO技術(shù)獲取在熱門搜索引擎(包括谷歌和必應(yīng))排名靠前的惡意PDF文件。SEO 的濫用當然不是什么新鮮事，但它現(xiàn)在比以往任何時候都更有效，因為太多的人相信谷歌（以及一般的搜索引擎）如同現(xiàn)代的神諭。這意味著他們忽略了一個事實：即使鏈接在搜索引擎中排名靠前，也不意味著它是合法且無害的。疫情導(dǎo)致的后果之一是，我們將信任從現(xiàn)實生活轉(zhuǎn)移到了數(shù)字世界，為威脅者提供了新的可能性。

回顧一下過去12個月惡意軟件下載最多的類別，可以發(fā)現(xiàn)這一趨勢還在延續(xù)：“技術(shù)”（27%）高居榜首，領(lǐng)先于“搜索引擎”（15%）、“新聞和媒體” ”（11%）、“流媒體和可下載視頻”（11%）和“共享軟件/免費軟件”（8%）。攻擊者將對專業(yè)工具（技術(shù)）或個人習慣（新聞和媒體或流媒體和可下載視頻）的信任變成對互聯(lián)網(wǎng)公民的威脅。

事實上，“共享軟件/免費軟件”出現(xiàn)在惡意軟件引薦來源列表中的前列引發(fā)了另一個重要問題，這與個人和組織需要接受新的安全文化有關(guān)。同樣，利用這一類別傳遞惡意內(nèi)容并不是什么新鮮事。然而，這是一個個人和企業(yè)相關(guān)使用公司設(shè)備的界限模糊的時代，忽視表面行為（例如在企業(yè)設(shè)備中下載免費軟件而無視企業(yè)政策）可能會給個人和組織本身帶來痛苦的后果。當你考慮到“共享軟件/免費軟件”也是直接惡意軟件傳播的最主要類別之一(排名第五，占5%)，僅次于內(nèi)容服務(wù)器和技術(shù)(均占23%)，未分類(14%)和商業(yè)(6%)，這個壞習慣尤其危險。

建立安全文化意味著教育人們了解他們可以在多大程度上獲得數(shù)字信任。從技術(shù)角度來看，應(yīng)用于組織的等效概念當然是零信任原則，它否定了隱式信任的概念，并將訪問模型從“信任，但驗證”范式轉(zhuǎn)變?yōu)椤膀炞C，然后信任”。 當被邀請打開鏈接或從受信任的來源下載產(chǎn)品時，無論是出于個人目的還是專業(yè)目的，用戶都應(yīng)采用相同的方法，用一種明確的、持續(xù)自適應(yīng)的信任取代隱式信任。但由于錯誤是人為的，因此組織還應(yīng)采取技術(shù)對策，采用零信任方法，以確保只有具有正確安全策略的用戶才能訪問內(nèi)部資源。

原標題：How Threat Actors Weaponize Your Trust

作者：Paolo Passeri 

鏈接：https://www.infosecurity-magazine.com/blogs/threat-actors-weaponize-trust/?