信任是人際關系的核心，我們每天都本能地進行信任評估。這些決策往往是在潛意識中進行的，它指導我們的行為方式、我們投票支持的人、我們處理的業務以及我們對事情結果的信心。不幸的是，出于所有這些原因，信任也是每個犯罪分子的首選武器之一。從知道居民們信任他們的社區足以在炎熱的天氣里打開窗戶的入室竊賊，到騙取老婦人畢生積蓄的騙子，信任是首選的武器。

就像其他犯罪分子一樣，網絡犯罪分子濫用信任，使用通常稱為“社會工程”的策略來訪問我們的數字系統并以多種方式竊取數據。但社會工程并不是濫用信任的唯一途徑。了解他們如何利用我們錯誤的信任決策是防御的第一步。  

濫用數字信任通常涉及利用我們在日常數字生活中使用的應用程序或工具來處理我們的業務或個人事物。這是一種越來越多地被壞人用來執行惡意操作的技術，例如發送惡意軟件或網絡釣魚頁面的鏈接。

網絡釣魚背后的一個含義是數字信任的武器化：攻擊者利用受害者信任和熟悉的知名品牌。任何類型的工具、應用程序或在線服務都可能被惡意模仿。這就解釋了為什么被模仿最多的品牌通常是由領英、谷歌、亞馬遜和微軟等在我們的數字生活中發揮重要作用的公司領導的。當然，網絡釣魚背后的另一個含義是對人性的利用；例如，挑逗受害者的好奇心或制造緊迫感（如需要支付的運費發票）。第二個方面解釋了為什么像 DHL 這樣的品牌經常排在排行榜的首位：留下來自受信任品牌的鏈接邀請確實是一個非常有效的方式。從攻擊者的角度來看，信任和好奇心（或緊迫性）的結合是致命的。

同樣，利用合法的云服務?來分發惡意內容（例如惡意軟件或網絡釣魚頁面）是一種網絡釣魚技術，這種技術在過去幾年中變得越來越普遍，這得益于員工的分布以及隨之而來的對云服務的日益普及（和信任）。在這種情況下，攻擊者不僅利用了個人（看到熟悉的品牌和合法證書）對云應用的數字信任，還利用了組織（他們認為云提供商受信任，因此他們不會對非云網絡流量強制執行相同的安全控制）對云應用的數字信任。攻擊者還依賴一些額外的因素來增加攻擊的成功率；例如，他們無需擔心基礎設施的準備工作，而可以從隨時準備就緒、可用且有彈性的基礎設施發起攻擊。根據最新的 Netskope?云和威脅報告顯示，在過去 12 個月中，47% 的惡意軟件是由云應用分發的。

同一份Netskope 報告還發現，搜索引擎優化 (SEO) 是一種越來越普遍的用于武器化數字信任的技術。為了證實這一趨勢，網絡釣魚下載量在過去 12 個月一直在上升，攻擊者使用SEO技術獲取在熱門搜索引擎(包括谷歌和必應)排名靠前的惡意PDF文件。SEO 的濫用當然不是什么新鮮事，但它現在比以往任何時候都更有效，因為太多的人相信谷歌（以及一般的搜索引擎）如同現代的神諭。這意味著他們忽略了一個事實：即使鏈接在搜索引擎中排名靠前，也不意味著它是合法且無害的。疫情導致的后果之一是，我們將信任從現實生活轉移到了數字世界，為威脅者提供了新的可能性。

回顧一下過去12個月惡意軟件下載最多的類別，可以發現這一趨勢還在延續：“技術”（27%）高居榜首，領先于“搜索引擎”（15%）、“新聞和媒體” ”（11%）、“流媒體和可下載視頻”（11%）和“共享軟件/免費軟件”（8%）。攻擊者將對專業工具（技術）或個人習慣（新聞和媒體或流媒體和可下載視頻）的信任變成對互聯網公民的威脅。

事實上，“共享軟件/免費軟件”出現在惡意軟件引薦來源列表中的前列引發了另一個重要問題，這與個人和組織需要接受新的安全文化有關。同樣，利用這一類別傳遞惡意內容并不是什么新鮮事。然而，這是一個個人和企業相關使用公司設備的界限模糊的時代，忽視表面行為（例如在企業設備中下載免費軟件而無視企業政策）可能會給個人和組織本身帶來痛苦的后果。當你考慮到“共享軟件/免費軟件”也是直接惡意軟件傳播的最主要類別之一(排名第五，占5%)，僅次于內容服務器和技術(均占23%)，未分類(14%)和商業(6%)，這個壞習慣尤其危險。

建立安全文化意味著教育人們了解他們可以在多大程度上獲得數字信任。從技術角度來看，應用于組織的等效概念當然是零信任原則，它否定了隱式信任的概念，并將訪問模型從“信任，但驗證”范式轉變為“驗證，然后信任”。 當被邀請打開鏈接或從受信任的來源下載產品時，無論是出于個人目的還是專業目的，用戶都應采用相同的方法，用一種明確的、持續自適應的信任取代隱式信任。但由于錯誤是人為的，因此組織還應采取技術對策，采用零信任方法，以確保只有具有正確安全策略的用戶才能訪問內部資源。

原標題：How Threat Actors Weaponize Your Trust

作者：Paolo Passeri 

鏈接：https://www.infosecurity-magazine.com/blogs/threat-actors-weaponize-trust/?