1、已知賬戶的網(wǎng)絡(luò)釣魚

多因素身份驗(yàn)證(multi-factor authentication ，MFA)的使用減少了攻擊者使用攻擊帳戶作為啟動(dòng)社會(huì)工程活動(dòng)的樞紐點(diǎn)的機(jī)會(huì)。因此，我們看到攻擊者不再以單個(gè)郵箱為目標(biāo)，而是轉(zhuǎn)向合法的基礎(chǔ)設(shè)施來執(zhí)行他們的操作。

這種策略轉(zhuǎn)變的一個(gè)例子是攻擊者注冊(cè)O(shè)ffice 365服務(wù)的試用租戶，這使得他們的電子郵件看起來更加合法。其他方法包括通過ProxyShell或ProxyLogin侵入Microsoft Exchange服務(wù)器，然后向內(nèi)部和外部用戶帳戶發(fā)送釣魚電子郵件。為了進(jìn)一步欺騙潛在的受害者，攻擊者還會(huì)劫持郵件對(duì)話，在某些情況下，每次攻擊都會(huì)修改回復(fù)消息的字體和語言，以增加成功的機(jī)會(huì)。

我們很可能會(huì)看到進(jìn)一步使用已知帳戶或合法基礎(chǔ)設(shè)施來執(zhí)行網(wǎng)絡(luò)釣魚活動(dòng)，要么利用Microsoft Exchange等系統(tǒng)的漏洞。

2、商務(wù)郵件泄露

根據(jù)互聯(lián)網(wǎng)犯罪報(bào)告，商業(yè)電子郵件泄露(Business E-mail Compromise，BEC)是最具經(jīng)濟(jì)影響的網(wǎng)絡(luò)犯罪類型之一。

BECs“受歡迎”的原因之一是，攻擊者不必經(jīng)歷多階段攻擊的所有麻煩，也不必在未知環(huán)境中尋找方法，攻擊者只需“要求”執(zhí)行金融交易(或根據(jù)其目標(biāo)的變體)。雖然BEC攻擊可以被視為網(wǎng)絡(luò)釣魚，但它并不像濫用信任、模仿和其他社會(huì)工程技術(shù)那樣依賴于惡意軟件或惡意鏈接。

與前幾年相比，企業(yè)電子郵件攻擊的交易規(guī)模中位數(shù)進(jìn)一步大幅增加了。根據(jù)DBIR的數(shù)據(jù)，只有41%的BECs涉及網(wǎng)絡(luò)釣魚，大約25%的BECs涉及對(duì)受害者組織使用竊取的證書。盡管執(zhí)法機(jī)構(gòu)努力打擊BEC攻擊，例如國際刑警組織作為黛利拉行動(dòng)的一部分的逮捕行動(dòng)，但這類攻擊對(duì)罪犯來說仍然非常有利可圖?？紤]到財(cái)務(wù)方面，我們很可能會(huì)繼續(xù)看到BECs的財(cái)務(wù)影響增加。

3、惡意的快速響應(yīng)碼

2022年1月，美國聯(lián)邦調(diào)查局發(fā)布了一項(xiàng)警告，稱犯罪分子使用二維碼將受害者重定向到惡意網(wǎng)站，竊取登錄和財(cái)務(wù)信息。網(wǎng)絡(luò)釣魚防御中心(Phishing Defence Centre)也發(fā)現(xiàn)了類似的情況，威脅行為者使用惡意快速響應(yīng)碼針對(duì)德國銀行的用戶。重要的是要認(rèn)識(shí)到，這類騙局既可以發(fā)生在數(shù)字空間，也可以發(fā)生在物理領(lǐng)域。

4、授權(quán)釣魚

Microsoft和Mandiant都報(bào)告了攻擊者向用戶發(fā)送鏈接使用授權(quán)釣魚的情況，如果點(diǎn)擊這些鏈接，攻擊者將授予應(yīng)用程序和服務(wù)的訪問和權(quán)限。

威脅行為者在Azure中創(chuàng)建并注冊(cè)惡意應(yīng)用程序，以試圖獲得對(duì)數(shù)據(jù)和應(yīng)用程序的持久訪問權(quán)。一旦非特權(quán)用戶獲得了批準(zhǔn)的同意，他們就會(huì)收集訪問令牌，然后擁有對(duì)受害者數(shù)據(jù)的帳戶級(jí)訪問權(quán)限，而不需要用戶的憑據(jù)。

由于技術(shù)要求和資源投資的限制，且考慮到仍然有更簡單的方法來獲得社會(huì)工程目標(biāo)，這種類型的攻擊可能不是許多威脅組織的首選。但考慮到潛在的影響，以及被發(fā)現(xiàn)的幾率較低，要么是因?yàn)槿狈梢娦?，要么是因?yàn)榇蠖鄶?shù)組織不知情，我們很可能會(huì)看到同意網(wǎng)絡(luò)釣魚攻擊的增加。

5、自動(dòng)化

使用社會(huì)工程攻擊的威脅行為者正在進(jìn)一步自動(dòng)化他們的操作。人工智能并不能立即應(yīng)用于驅(qū)動(dòng)網(wǎng)絡(luò)釣魚電子郵件，但隨著自動(dòng)化程度的提高，令人擔(dān)憂的演變即將出現(xiàn)。威脅行為者可能會(huì)使用直接從公開數(shù)據(jù)泄露中提取的受害者信息，并在某些情況下結(jié)合多個(gè)數(shù)據(jù)轉(zhuǎn)儲(chǔ)中的信息，進(jìn)行越來越多的定制化和個(gè)性化攻擊。

此外，與這些數(shù)據(jù)相補(bǔ)充的開源信息，如社交媒體簡介、公司和個(gè)人網(wǎng)站以及公布的文件，將為不法分子提供新的機(jī)會(huì)，這是在不久的將來可能會(huì)看到的情況。

6、通過FluBot的短信釣魚

 一個(gè)被廣泛觀察到的手機(jī)銀行惡意軟件是FluBot。它主要針對(duì)歐洲大部分地區(qū)的Android設(shè)備用戶，并通過短信和彩信傳播。受害者首先會(huì)收到一條冒充包裹遞送公司、語音郵件備忘錄或假冒軟件的短信(稱為smishing或SMS phishing)。該消息包含一個(gè)指向網(wǎng)站的鏈接，指示受害者安裝應(yīng)用程序。應(yīng)用程序安裝后，請(qǐng)求的權(quán)限就會(huì)被授予，有時(shí)安全功能也會(huì)被禁用。FluBot從受感染的設(shè)備向其聯(lián)系人列表發(fā)送釣魚短信，通過自我傳播。它還將與活動(dòng)運(yùn)營商共享聯(lián)系人列表，但對(duì)受害者來說，最大的問題是，它還收集信用卡號(hào)碼和網(wǎng)上銀行憑證，攔截短信(如一次性密碼)，并捕捉屏幕截圖。

盡管FluBot不能在蘋果設(shè)備(iOS)上運(yùn)行，但iPhone用戶也不安全。如果用戶遵循短信中的鏈接，他們會(huì)被重定向到更“傳統(tǒng)”的釣魚網(wǎng)站和訂閱騙局。

2022年6月，一項(xiàng)國際執(zhí)法行動(dòng)導(dǎo)致FluBot被破壞。雖然目前還沒有跡象表明這種移動(dòng)端惡意軟件會(huì)重新出現(xiàn)，但考慮到經(jīng)濟(jì)收益、龐大的可用目標(biāo)群以及相對(duì)容易的感染和傳播，我們很可能會(huì)看到其他犯罪集團(tuán)填補(bǔ)移動(dòng)惡意軟件領(lǐng)域的空白。

7、安全賬戶詐騙

據(jù)Europol報(bào)道，安全賬戶騙局是一種新興的作案手法。在這種騙局中，攻擊者告訴受害者，他們的銀行賬戶已被泄露，從而說服他們將資金轉(zhuǎn)移到“安全賬戶”。

為了讓故事更有說服力，他們經(jīng)常偽裝成警察或金融機(jī)構(gòu)的員工。不幸的是，這個(gè)所謂的安全賬戶處于騙子的控制之下，在轉(zhuǎn)賬完成后，受害者發(fā)現(xiàn)他們?cè)趲追昼妰?nèi)就失去了他們一生的積蓄。根據(jù)Agari和PhishLabs，在過去12個(gè)月里，盜版案件的數(shù)量也大幅增加，不低于550%(2022年第一季度與2021年第一季度相比)。在不久的將來，很可能會(huì)繼續(xù)見證這一趨勢(shì)。

7、長期運(yùn)行的社會(huì)工程攻擊

Dukes作為APT依賴社會(huì)工程作為其運(yùn)作的主要技術(shù)的案例。但他們不是唯一的。伊朗威脅組織使用長期運(yùn)行的社會(huì)工程活動(dòng)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)和信息操作。在2021年7月公布的“SpoofedScholars行動(dòng)”中，威脅組織偽裝成倫敦大學(xué)亞非研究學(xué)院的英國學(xué)者。他們的目標(biāo)是高級(jí)智庫人員、關(guān)注中東事務(wù)的記者以及教授，他們發(fā)出了非常有針對(duì)性的假會(huì)議邀請(qǐng)，這些邀請(qǐng)最終導(dǎo)致了證書竊取網(wǎng)站。

這個(gè)組織利用他們確定的目標(biāo)對(duì)象的專業(yè)背景來構(gòu)建故事，開展的活動(dòng)則專注于引誘策略。他們的策略通常包括在社交媒體上偽裝成一個(gè)迷人的女人，通過公司和個(gè)人平臺(tái)建立聯(lián)系，分享惡意文件，然后說服目標(biāo)打開文件，目的是竊取敏感信息。考慮到以前活動(dòng)的成功，未來很可能會(huì)繼續(xù)看到來自伊朗地區(qū)的威脅行為者使用類似的社會(huì)工程間諜技術(shù)。

小  結(jié)

本文對(duì)社會(huì)工程中使用的攻擊方法進(jìn)行了簡要介紹。結(jié)合上篇對(duì)社會(huì)工程的介紹，期望可以對(duì)讀者了解社會(huì)工程有所幫助。

參考文獻(xiàn)：《ENISA THREAT LANDSCAPE 2022 (July 2021 to July 2022)》