1、已知賬戶的網(wǎng)絡(luò)釣魚

多因素身份驗證(multi-factor authentication ，MFA)的使用減少了攻擊者使用攻擊帳戶作為啟動社會工程活動的樞紐點的機會。因此，我們看到攻擊者不再以單個郵箱為目標，而是轉(zhuǎn)向合法的基礎(chǔ)設(shè)施來執(zhí)行他們的操作。

這種策略轉(zhuǎn)變的一個例子是攻擊者注冊O(shè)ffice 365服務(wù)的試用租戶，這使得他們的電子郵件看起來更加合法。其他方法包括通過ProxyShell或ProxyLogin侵入Microsoft Exchange服務(wù)器，然后向內(nèi)部和外部用戶帳戶發(fā)送釣魚電子郵件。為了進一步欺騙潛在的受害者，攻擊者還會劫持郵件對話，在某些情況下，每次攻擊都會修改回復(fù)消息的字體和語言，以增加成功的機會。

我們很可能會看到進一步使用已知帳戶或合法基礎(chǔ)設(shè)施來執(zhí)行網(wǎng)絡(luò)釣魚活動，要么利用Microsoft Exchange等系統(tǒng)的漏洞。

2、商務(wù)郵件泄露

根據(jù)互聯(lián)網(wǎng)犯罪報告，商業(yè)電子郵件泄露(Business E-mail Compromise，BEC)是最具經(jīng)濟影響的網(wǎng)絡(luò)犯罪類型之一。

BECs“受歡迎”的原因之一是，攻擊者不必經(jīng)歷多階段攻擊的所有麻煩，也不必在未知環(huán)境中尋找方法，攻擊者只需“要求”執(zhí)行金融交易(或根據(jù)其目標的變體)。雖然BEC攻擊可以被視為網(wǎng)絡(luò)釣魚，但它并不像濫用信任、模仿和其他社會工程技術(shù)那樣依賴于惡意軟件或惡意鏈接。

與前幾年相比，企業(yè)電子郵件攻擊的交易規(guī)模中位數(shù)進一步大幅增加了。根據(jù)DBIR的數(shù)據(jù)，只有41%的BECs涉及網(wǎng)絡(luò)釣魚，大約25%的BECs涉及對受害者組織使用竊取的證書。盡管執(zhí)法機構(gòu)努力打擊BEC攻擊，例如國際刑警組織作為黛利拉行動的一部分的逮捕行動，但這類攻擊對罪犯來說仍然非常有利可圖。考慮到財務(wù)方面，我們很可能會繼續(xù)看到BECs的財務(wù)影響增加。

3、惡意的快速響應(yīng)碼

2022年1月，美國聯(lián)邦調(diào)查局發(fā)布了一項警告，稱犯罪分子使用二維碼將受害者重定向到惡意網(wǎng)站，竊取登錄和財務(wù)信息。網(wǎng)絡(luò)釣魚防御中心(Phishing Defence Centre)也發(fā)現(xiàn)了類似的情況，威脅行為者使用惡意快速響應(yīng)碼針對德國銀行的用戶。重要的是要認識到，這類騙局既可以發(fā)生在數(shù)字空間，也可以發(fā)生在物理領(lǐng)域。

4、授權(quán)釣魚

Microsoft和Mandiant都報告了攻擊者向用戶發(fā)送鏈接使用授權(quán)釣魚的情況，如果點擊這些鏈接，攻擊者將授予應(yīng)用程序和服務(wù)的訪問和權(quán)限。

威脅行為者在Azure中創(chuàng)建并注冊惡意應(yīng)用程序，以試圖獲得對數(shù)據(jù)和應(yīng)用程序的持久訪問權(quán)。一旦非特權(quán)用戶獲得了批準的同意，他們就會收集訪問令牌，然后擁有對受害者數(shù)據(jù)的帳戶級訪問權(quán)限，而不需要用戶的憑據(jù)。

由于技術(shù)要求和資源投資的限制，且考慮到仍然有更簡單的方法來獲得社會工程目標，這種類型的攻擊可能不是許多威脅組織的首選。但考慮到潛在的影響，以及被發(fā)現(xiàn)的幾率較低，要么是因為缺乏可見性，要么是因為大多數(shù)組織不知情，我們很可能會看到同意網(wǎng)絡(luò)釣魚攻擊的增加。

5、自動化

使用社會工程攻擊的威脅行為者正在進一步自動化他們的操作。人工智能并不能立即應(yīng)用于驅(qū)動網(wǎng)絡(luò)釣魚電子郵件，但隨著自動化程度的提高，令人擔(dān)憂的演變即將出現(xiàn)。威脅行為者可能會使用直接從公開數(shù)據(jù)泄露中提取的受害者信息，并在某些情況下結(jié)合多個數(shù)據(jù)轉(zhuǎn)儲中的信息，進行越來越多的定制化和個性化攻擊。

此外，與這些數(shù)據(jù)相補充的開源信息，如社交媒體簡介、公司和個人網(wǎng)站以及公布的文件，將為不法分子提供新的機會，這是在不久的將來可能會看到的情況。

6、通過FluBot的短信釣魚

 一個被廣泛觀察到的手機銀行惡意軟件是FluBot。它主要針對歐洲大部分地區(qū)的Android設(shè)備用戶，并通過短信和彩信傳播。受害者首先會收到一條冒充包裹遞送公司、語音郵件備忘錄或假冒軟件的短信(稱為smishing或SMS phishing)。該消息包含一個指向網(wǎng)站的鏈接，指示受害者安裝應(yīng)用程序。應(yīng)用程序安裝后，請求的權(quán)限就會被授予，有時安全功能也會被禁用。FluBot從受感染的設(shè)備向其聯(lián)系人列表發(fā)送釣魚短信，通過自我傳播。它還將與活動運營商共享聯(lián)系人列表，但對受害者來說，最大的問題是，它還收集信用卡號碼和網(wǎng)上銀行憑證，攔截短信(如一次性密碼)，并捕捉屏幕截圖。

盡管FluBot不能在蘋果設(shè)備(iOS)上運行，但iPhone用戶也不安全。如果用戶遵循短信中的鏈接，他們會被重定向到更“傳統(tǒng)”的釣魚網(wǎng)站和訂閱騙局。

2022年6月，一項國際執(zhí)法行動導(dǎo)致FluBot被破壞。雖然目前還沒有跡象表明這種移動端惡意軟件會重新出現(xiàn)，但考慮到經(jīng)濟收益、龐大的可用目標群以及相對容易的感染和傳播，我們很可能會看到其他犯罪集團填補移動惡意軟件領(lǐng)域的空白。

7、安全賬戶詐騙

據(jù)Europol報道，安全賬戶騙局是一種新興的作案手法。在這種騙局中，攻擊者告訴受害者，他們的銀行賬戶已被泄露，從而說服他們將資金轉(zhuǎn)移到“安全賬戶”。

為了讓故事更有說服力，他們經(jīng)常偽裝成警察或金融機構(gòu)的員工。不幸的是，這個所謂的安全賬戶處于騙子的控制之下，在轉(zhuǎn)賬完成后，受害者發(fā)現(xiàn)他們在幾分鐘內(nèi)就失去了他們一生的積蓄。根據(jù)Agari和PhishLabs，在過去12個月里，盜版案件的數(shù)量也大幅增加，不低于550%(2022年第一季度與2021年第一季度相比)。在不久的將來，很可能會繼續(xù)見證這一趨勢。

7、長期運行的社會工程攻擊

Dukes作為APT依賴社會工程作為其運作的主要技術(shù)的案例。但他們不是唯一的。伊朗威脅組織使用長期運行的社會工程活動進行網(wǎng)絡(luò)間諜活動和信息操作。在2021年7月公布的“SpoofedScholars行動”中，威脅組織偽裝成倫敦大學(xué)亞非研究學(xué)院的英國學(xué)者。他們的目標是高級智庫人員、關(guān)注中東事務(wù)的記者以及教授，他們發(fā)出了非常有針對性的假會議邀請，這些邀請最終導(dǎo)致了證書竊取網(wǎng)站。

這個組織利用他們確定的目標對象的專業(yè)背景來構(gòu)建故事，開展的活動則專注于引誘策略。他們的策略通常包括在社交媒體上偽裝成一個迷人的女人，通過公司和個人平臺建立聯(lián)系，分享惡意文件，然后說服目標打開文件，目的是竊取敏感信息。考慮到以前活動的成功，未來很可能會繼續(xù)看到來自伊朗地區(qū)的威脅行為者使用類似的社會工程間諜技術(shù)。

小  結(jié)

本文對社會工程中使用的攻擊方法進行了簡要介紹。結(jié)合上篇對社會工程的介紹，期望可以對讀者了解社會工程有所幫助。

參考文獻：《ENISA THREAT LANDSCAPE 2022 (July 2021 to July 2022)》