3起“代價最高昂”的社會工程攻擊 - 網安 - 專業的網絡安全產業、社區、知識平臺

幾十年來，我們聽說了無數家喻戶曉的黑客故事，他們使用復雜的社會工程技術，在既無任何暴力威脅，也無其他虐待或魯莽行為的情況下，操縱目標交出機密信息。

問題是，這樣的故事會影響人們對現實的把握。人們可能盲目地認為，了解了這么多關于這種技術的故事，就應該知道并有效地規避這些把戲。但遺憾的是，事實并非如此。以下是近年來三起最為引人注目的案例，表明社會工程仍然是一個潛在威脅，也許比以往任何時候都更嚴重。

學生也能黑進中央情報局局長的電腦

讓我們從一個很容易被拿來拍好萊塢電影的故事開始。然而，它將不是一部動作驚悚片，而是一部諷刺喜劇。

2015年10月，一個自稱為“Crackas With Attitude”的黑客組織利用社會工程技術進入了美國中央情報局（CIA）局長約翰·布倫南（John Brennan）的個人AOL賬戶。黑客攻擊事件發生后，該組織接受了《紐約郵報》的電話采訪，其中一名成員聲稱自己只是一名美國高中生。

盡管中情局局長的電子郵件是私人的，但它透露了許多與其工作有關的機密信息，特別是，十多名美國高級情報官員的社會安全號碼和其他個人信息，以及布倫南本人提交的一份長達47頁的絕密忠誠調查（對參加秘密工作人員等進行的一項調查）申請。

同年11月，故事還在繼續：這次黑客攻擊了另一位高級官員、聯邦調查局（FBI）副局長馬克·朱利亞諾（Mark Giuliano）及其妻子的AOL個人賬戶。這一次，黑客竊取了有關3500名美國執法機構雇員的姓名、電子郵件地址和電話號碼等信息，這些信息后來被公之于眾。

就在幾個月后，也就是2016年1月，這些黑客又獲得了美國國家情報局局長詹姆斯·克拉珀（James Clapper）的一系列個人賬戶。最后，在2016年2月，他們公開發布了9000名美國國土安全部員工和2萬名聯邦調查局員工的數據。犯罪分子聲稱這些數據都是他們通過入侵美國司法部獲得的。

同月，其中一名黑客被捕。他確實是一個高中生，但并非美國人，而是英國人，名叫凱恩·甘布爾（Kane Gamble，又名Cracka）。結果，這名年輕的黑客（犯罪時只有15歲）被認定為該組織的頭目，在英國被判處兩年監禁（最終服刑8個月），并在此期間被禁用互聯網（他完全遵守了這一規定）。幾個月后，“Crackas With Attitude”組織的另外兩名成員在美國被拘留：23歲的安德魯·奧托·博格斯（Andrew Otto Boggs）被判入獄兩年，25歲的賈斯汀·格雷·利弗曼（Justin Gray Liverman）被判入獄五年。

據悉，在活躍期間——從2015年6月到2016年2月——年輕的Gamble曾成功地假扮成中央情報局局長，并以他的名義從呼叫中心和熱線員工那里騙取了密碼。利用它們，該組織設法獲得了與阿富汗和伊朗情報行動有關的高度敏感文件。誰知道，如果他們沒有決定公開嘲諷中央情報局局長、聯邦調查局副局長和美國國家情報局局長，這些黑客們會不會被抓住呢？

拜登、奧巴馬、蓋茨等人的推特賬戶被黑

下述事件發生在2020年7月15日，當時一大波推特賬戶開始傳播類似的信息：“所有發送到以下地址的比特幣將被雙倍退回！如果你發送1000美元，我將退回2000美元。活動僅限30分鐘！”這看起來像是一個典型的比特幣騙局，但值得一提的是：所有這些涉事賬戶都確實屬于名人和大型公司。

最開始，這些騙局信息是出現在與加密貨幣直接相關的推特賬戶上：這個騙局是由幣安（Binance）創始人Changpeng Zhao和其他幾家加密貨幣交易所（包括Coinbase）以及加密新聞網站CoinDesk聯合“宣布”的。但它并未止步于此，之后，越來越多的知名企業家、名人、政治家和公司賬戶開始一個接一個地加入這場狂歡，包括蘋果、優步、巴拉克·奧巴馬、埃隆·馬斯克、金·卡戴珊、比爾·蓋茨、喬·拜登（當時還不是總統）、杰夫·貝佐斯、坎耶·韋斯特等等。

【來自埃隆·馬斯克被黑賬戶的推文】

在Twitter試圖找出問題根源的幾個小時內，黑客設法集資了超過10萬美元——這是一筆不小的數目，但與該公司遭受的聲譽打擊相比，這根本不算什么。問題很快就清楚了，起因是黑客侵入了Twitter的內部賬戶管理系統。

結果，黑客很快就被發現并逮捕了，這個組織的頭目也是一個學生——這次是美國人，當時年僅17歲的格雷厄姆·伊萬·克拉克（Graham Ivan Clark）。他被判入獄三年，緩刑三年。然而，更重要的是，調查確定，這次攻擊是在沒有內部人員幫助的情況下進行的。相反地，黑客們混合使用社會工程和網絡釣魚來欺騙Twitter員工，從而獲得了系統訪問權限。

首先，黑客研究了LinkedIn的個人資料，以確定可能有權訪問該賬戶管理系統的員工。接下來，使用LinkedIn的招聘功能，他們收集了目標的聯系信息，包括手機號碼等。然后，黑客們假裝成同事，給這些員工打電話，并利用這些數據說服他們訪問一個模仿Twitter內部登錄頁面的釣魚網站。通過這種方式，攻擊者最終獲得了密碼和雙因素認證碼，從而成功登錄Twitter賬戶管理系統，并掌控了數十個擁有數百萬關注者的大V賬號。

還是那句，誰知道如果他們沒有瞄準世界TOP10富豪榜的一半，以及其他知名人士，最重要的是，前美國總統和未來美國總統的推特賬戶，他們是否會被抓住。

Sky Mavis和五億美元的搶劫案

這是發生在2022年的故事。當時，開發商Sky Mavis憑借NFT游戲《Axie Infinity》賺得盆滿缽滿。數據顯示，在巔峰時期，這款游戲的日用戶高達270萬，周收益高達2.15億美元。

然而，在2022年3月（加密貨幣崩盤前），Sky Mavis就發現自己陷入了嚴重的麻煩。黑客針對支撐Axie Infinity所有加密貨幣活動的Ronin Network發起了攻擊，并從該公司的賬戶中竊取了173,600 ETH和2550萬USDC，時值約5.4億美元。

到了2022年7月，搶劫案的細節才最終浮出水面。攻擊者通過一家假冒公司在領英（LinkedIn）上聯系了Sky Mavis的員工，邀請他們參加工作面試。最終，一名高級工程師上鉤，并在經過幾輪面試后成功得到了這份非常誘人的工作。虛假報價以受感染的PDF格式發送，黑客由此成功進入了該公司的內部網絡。

有了進入公司網絡的權限后，黑客便能夠獲得用于確認交易的私鑰，然后提取加密貨幣。他們還通過一個復雜的計劃對被盜資金進行洗錢操作，該計劃涉及兩個密碼混合器和大約12,000個中間加密錢包，然后將其轉換為比特幣，隨后將其套現。

參與此次調查的分析人士認為，這次攻擊與朝鮮組織“拉撒路”相關。在搶劫案發生后的六個月里，直到調查結束，加密市場崩潰，導致以太坊匯率暴跌。

社會工程常見攻擊方法及防范建議

網絡釣魚

網絡釣魚是最常見的社會工程技術之一。網絡犯罪分子發送看似來自合法來源的電子郵件、短信或私信，誘騙受害者提供敏感信息或點擊惡意鏈接。

預防方法：

驗證發件人的電子郵件地址并查找不一致之處；
提防那些不明來源的郵件或信息；
將鼠標懸停在鏈接上以查看實際的URL，核實后再點擊；
使用雙因素身份驗證來保護郵件賬戶；

假托（Pretexting）

假托是指創建一個虛構的場景或冒充一個受信任的人來欺騙受害者泄露敏感信息或授予訪問資源的權限。

預防方法：

通過可信賴渠道來驗證聯系人員的身份；
在電話或網上分享個人信息時要謹慎；
培訓員工了解公司處理敏感信息的規程；

誘餌（Baiting）

誘餌是指通過獎勵（如免費軟件或禮物）來引誘受害者，以獲取敏感信息或訪問系統的權限。

預防方法：

警惕那些好得令人難以置信的禮物；
僅從可信來源下載軟件；
核實任何不請自來的優惠或促銷信息；

一物換一物（Quid Pro Quo）

這種攻擊是指提供某種服務或利益以換取隱私信息或訪問權限。例如，攻擊者可能冒充公司IT支持人員，請求受害者提供賬號登錄憑據以“修復”某個并不存在的安全問題。

預防方法：

驗證任何信息或訪問請求的合法性；
為不同賬戶使用唯一且強大的密碼；
在組織內實施嚴格的訪問控制和協議。

尾隨（Tailgating）

尾隨攻擊是指未經授權的個人尾隨授權人員進入安全區域，以繞過門禁或生物識別掃描儀等安全措施。

預防方法：

實施嚴格的訪問控制策略；
教育員工不要隨意為別人開門的重要性；
使用安全攝像頭監控出入口。