花樣翻新!2023年不容忽視的5大新興社會工程攻擊
忘記普通的網絡釣魚攻擊吧!
如今的網絡犯罪分子已經開發了更有趣的招數。
MFA疲勞攻擊
當智能手機推送通知首次出現時,業界似乎終于找到了一種既易于使用又比短信一次性密碼(OTPs)等選項更安全的多因素身份驗證(MFA)。
然而,2022年9月的Uber數據泄露事件卻揭開了屬于它的最后一層“遮羞布”。在此事件中,黑客組織Lapsus$采用了“MFA疲勞”攻擊策略,成功運用他們的演技和毅力不斷進行測試,最終竊取了Uber承包商的證書,然后通過偽造的方式越過了保護Uber內部系統的最后一道屏障:一個脆弱的MFA文本代碼。
事實上,所謂MFA疲勞(MFA Fatigue)攻擊,通常指的是攻擊者運行一個自動化腳本,反復使用被盜憑據登錄,從而導致向帳戶所有者的移動設備無休止地發送MFA授權通知。其目的在于通過無休止的消息推送實施“疲勞轟炸”,摧垮目標的安全意識,直至他們出現失誤。一旦MFA請求被批準,黑客就可以訪問用戶的帳戶并隨意濫用。這種攻擊的主要目的是發送源源不斷的MFA推送通知,給帳戶所有者造成疲勞感。在適當的時候,這種MFA疲勞會使帳戶所有者無奈或被迫同意登錄請求,以停止MFA推送通知。
“緊急”短信詐騙
“媽媽,我出了車禍,緊急需要一筆錢”,任何有子女的父母應該都不會無視這些短信或微信消息。攻擊者也深知這一點,這就是它正成為一種越來越普遍的社會工程騙局的原因所在。攻擊者如何才能消除目標受眾對信息來自未知電話號碼的懷疑呢?很簡單:“我的手機壞了,所以從現在起你必須通過這個新號碼與我聯系。”
很多人可能覺得這并非一個完美的假冒騙局,但事實證明它確實非常有效。
虛假的數據泄露
數據泄露是壞消息,但有時完全虛構的數據泄露幾乎同樣危險。這項技術很巧妙:攻擊者會挑選一家過去曾遭受過數據泄露的知名企業,然后向數百萬目標受眾群散布完全虛構的報告,通過谷歌警報(Alerts)通知目標受眾再次遭遇了數據泄露,目的是誘使目標訪問合法但已被黑客攻擊的網站,從而感染惡意軟件。這個主題的變體是免費贈品。這里的社會工程手段利用的是用戶對谷歌Alerts的盲目信任。
“回呼”(Callbback)釣魚
大規模網絡釣魚攻擊的成功不應該讓我們忽視其他創新的成功。“回呼”網絡釣魚就是一個重新流行起來的例子。用戶首先會收到一封來自一個已知但被欺騙的聯系人的個性化電子郵件,要求他們撥打一個號碼來確認一個懸而未決的訂閱或賬單支付。任何被愚弄并決定打電話的人都會被操縱著放棄賬戶信息來實施金融欺詐。另外,一些勒索軟件組織也使用這種技術來說服人們安裝他們的惡意軟件。聰明的地方在于,使用電話可以輕松地繞過軟件防御機制,從而降低攻擊被發現的可能性。
Deepfake釣魚
這種攻擊策略是大勢所趨,將發生在不遠的將來。在這種攻擊場景中,用戶將被社會工程手段誘騙去做一些日后會后悔的事情,而攻擊所用的令人信服的圖片或語音通常來自他們的親人(從社交媒體上挑選圖片或其他信息,通過人工智能引擎處理)、同事甚至首席執行官。
作為虛假信息的產物,這種技術被比作“真相凋零”(truth decay),該概念由美國智庫蘭德公司提出,指的是目前事實和基于事實的分析比重減少的現象。簡單來說,即任何事物都可以被偽裝成“真實”。
Gartner曾在2021年警告稱,雖然各公司都在忙著防御勒索軟件攻擊,但他們沒有為合成媒體即將到來的沖擊做任何準備。不可避免的是,這些技術將被商品化,到那時它們將成為一種日常威脅。
