网络犯罪分子正在继续发起创造性的社会工程攻击来欺骗用户。与此同时，对于社会工程学的误解也正在加剧用户沦为受害者的风险。

绝大多数网络攻击都涉及社会工程学，但Proofpoint的一份最新报告揭示了5种最常见的社会工程学假设，这些假设不仅是错误的，而且正在实现攻击中被恶意行为者反复颠覆。

Proofpoint威胁研究和检测副总裁Sherrod DeGrippo在评论该报告的调查结果时表示，通过揭穿组织和安全团队做出的有关社会工程学的错误假设，有助于他们更好地保护员工免受网络犯罪的侵害。

他解释称：“尽管防御者已经尽了最大的努力，但网络犯罪分子仍继续每年对公司进行数十亿美元的诈骗和赎金勒索。以安全为中心的决策者通常优先考虑加固围绕物理和基于云的基础设施的防御，这也导致人类成为最薄弱的攻击入口。因此，一系列以利用人类行为和兴趣为宗旨的内容和技术不断被开发出来。”

事实上，网络犯罪分子会不遗余力地进行社会工程活动，鉴于其手段不断翻新，伪造能力不断增强，用户将更难避免沦为攻击受害者。以下是Proofpoint 提出的五个强化攻击的社会工程误解：

1.威胁者不与目标对话

报告称，攻击者不会花时间和精力与受害者交谈以建立融洽关系的观念是错误的。去年，Proofpoint研究人员观察到多个威胁参与者发送良性电子邮件以启动对话。报告写道，

“有效的社会工程是与用户建立情感联系，在精神上驱使他们主动接受指令。通过发送旨在引诱用户产生虚假安全感的良性电子邮件，威胁行为者可以更容易地建立信任关系，为后续的攻击活动奠定基础。”

Proofpoint观察到多个商业电子邮件妥协（BEC）、恶意软件分发和高级持续威胁（APT）活动均使用良性对话发起攻击，后者包括威胁参与者TA453、TA406和TA499的活动。

2. 合法服务不受社会工程滥用

如果内容看似来自可信任的来源，用户可能更倾向于与内容进行交互，但Proofpoint研究发现，威胁行为者经常滥用合法服务，例如云存储提供商和内容分发网络来托管和分发恶意软件以及凭据收集门户。

报告写道，威胁参与者可能更喜欢通过合法服务分发恶意软件，因为与恶意文档相比，它们更有可能绕过电子邮件中的安全保护机制。缓解托管在合法服务上的威胁仍然是一项难以防御的向量，因为它可能涉及实施强大的检测堆栈或基于策略的服务（与业务相关的服务）阻止。

Proofpoint将OneDrive确定为最常被顶级网络犯罪分子滥用的服务，紧随其后的是Google Drive、Dropbox、Discord、Firebase和SendGrid。

3. 攻击者只使用电脑，而不是电话

有一种趋势认为社会工程攻击仅限于电子邮件，但Proofpoint检测到，威胁行为者利用基于呼叫中心的电子邮件威胁生态系统（涉及通过电话进行人机交互）进行持续攻击的趋势正显著增强。报告称，电子邮件本身不包含恶意链接或附件，个人必须主动拨打电子邮件中的虚假客户服务号码才能与威胁行为者互动。Proofpoint每天观察超过250,000起此类威胁。

该报告还确定了两种类型的呼叫中心威胁活动——一种使用免费、合法的远程协助软件来窃取资金，另一种使用伪装成文件的恶意软件来破坏计算机（通常与BazaLoader恶意软件相关，称为BazaCall）。这两种攻击类型都是Proofpoint所认为的面向电话的攻击交付（telephone-oriented attack delivery，简称TOAD）。受害者可能会因这些类型的威胁而损失数万美元，Proofpoint举了一个例子，一个人遭到声称是诺顿LifeLock代表的威胁参与者的攻击而损失近50,000美元。

4. 回复现有的电子邮件对话是安全的

Proofpoint表示，欺诈者正在通过线程或对话劫持来利用围绕现有电子邮件对话的信任感和安全感。

报告写道，“使用这种方法的威胁行为者会利用人们对现有电子邮件对话的信任。通常情况下，接收者期待发送者的回复，因此更倾向于与输入的内容进行交互。”

为了成功劫持现有对话，威胁行为者需要获得对合法用户收件箱的访问权限，这可以通过多种方式获得，包括网络钓鱼、恶意软件攻击、黑客论坛上可用的凭据列表或密码喷洒技术。威胁行为者还可以劫持整个电子邮件服务器或邮箱，并自动从威胁参与者控制的僵尸网络发送回复。

仅2021年，Proofpoint就观察到与16个不同的恶意软件系列相关的500多个使用线程劫持的活动，包括TA571、TA577、TA575和TA542在内的主要威胁行为者都会经常在活动中使用线程劫持。

5. 欺诈者仅使用与业务相关的内容作为诱饵

Proofpoint表示，虽然恶意行为者通常会针对业务人员，但他们依赖业务相关内容作为诱饵的假设是不正确的。事实上，威胁行为者一直在大量利用时事、新闻和流行文化来吸引人们参与恶意内容。该报告列举了去年采取这种方法的几项运动，包括：BazaLoader利用鲜花和内衣等情人节主题进行攻击；

TA575使用来自Netflix节目《鱿鱼游戏》（Squid Game）的主题分发Dridex银行木马，攻击美国用户；

以美国国税局（IRS）为主题的活动利用潜在受害者应获得额外退款的想法来获取各种个人身份信息（PII）；

整个2021年，平均每天有超过600万个与COVID-19主题相关的威胁；

企业必须对员工进行社会工程策略培训，揭穿误解

考虑到社会工程策略的创造力，以及用户对欺诈者所用方法的误解，组织必须对员工进行培训，以提高其对社会工程构成的真正威胁的认识，并转变易被利用的心态。

Proofpoint在报告中写道，“对于任何特定组织而言，最具影响力的行动方案就是将文化转变为一种态势，即识别即将到来的威胁被认为是相关且必要的。这意味着鼓励员工了解威胁行为者可能利用的各种内容，增加攻击者的入侵难度。”

作为一名网络安全顾问，以及《如何攻击人类：心灵的网络安全》（How to Hack a Human: Cybersecurity for the Mind）一书的作者，Raef Meeuwisse认为员工需要接受教育，以了解最令人信服的社会工程骗局通常与他们在真实的日常生活中互动的许多东西一样真实——甚至可能更真实。他表示，Lapsus$组织甚至通过真正的安全平台向真正的员工发送真正的推送移动多因素身份验证请求，甚至许多流氓请求都得到了收件人的批准。

让员工发现社会工程学的最佳方法是让他们警惕任何会导致突然恐慌和紧急采取行动的情况。如果用户同时遇到这两种情况，99.99%的可能是他们被社会工程学骗了。当然，员工不仅应该接受培训，还应该向事件响应小组报告潜在的社会工程活动，如果有疑问，及时寻求他们的指导。

此外，Meeuwisse还警告称，企业必须认识到风险并不总是来自组织外部。他表示，“被遗忘或完全搁置的是报告、检查和监控那些恶意内部威胁者（例如，故意假装进入某个组织职位的人）的方法。这是一个不容忽视的严重问题，因为流氓内部行为造成的重大违规行为很少向媒体披露，但很多统计数据都将流氓内部人员标记为一个大问题。” 

他补充道，如果一个组织几乎没有进行背景调查，没有匿名举报机制，或者有一个流氓内部人员负责审查其他流氓内部人员，那么他们的社会工程防御也无法发挥作用。

本文翻译自：https://www.csoonline.com/article/3664932/5-social-engineering-assumptions-that-are-wrong.html如若转载，请注明原文地址