再次聊聊欧盟网络安全威胁之社会工程
2023-10-07 10:50:51
1、已知账户的网络钓鱼
多因素身份验证(multi-factor authentication ,MFA)的使用减少了攻击者使用攻击帐户作为启动社会工程活动的枢纽点的机会。因此,我们看到攻击者不再以单个邮箱为目标,而是转向合法的基础设施来执行他们的操作。
这种策略转变的一个例子是攻击者注册Office 365服务的试用租户,这使得他们的电子邮件看起来更加合法。其他方法包括通过ProxyShell或ProxyLogin侵入Microsoft Exchange服务器,然后向内部和外部用户帐户发送钓鱼电子邮件。为了进一步欺骗潜在的受害者,攻击者还会劫持邮件对话,在某些情况下,每次攻击都会修改回复消息的字体和语言,以增加成功的机会。
我们很可能会看到进一步使用已知帐户或合法基础设施来执行网络钓鱼活动,要么利用Microsoft Exchange等系统的漏洞。
2、商务邮件泄露
根据互联网犯罪报告,商业电子邮件泄露(Business E-mail Compromise,BEC)是最具经济影响的网络犯罪类型之一。
BECs“受欢迎”的原因之一是,攻击者不必经历多阶段攻击的所有麻烦,也不必在未知环境中寻找方法,攻击者只需“要求”执行金融交易(或根据其目标的变体)。虽然BEC攻击可以被视为网络钓鱼,但它并不像滥用信任、模仿和其他社会工程技术那样依赖于恶意软件或恶意链接。
与前几年相比,企业电子邮件攻击的交易规模中位数进一步大幅增加了。根据DBIR的数据,只有41%的BECs涉及网络钓鱼,大约25%的BECs涉及对受害者组织使用窃取的证书。尽管执法机构努力打击BEC攻击,例如国际刑警组织作为黛利拉行动的一部分的逮捕行动,但这类攻击对罪犯来说仍然非常有利可图。考虑到财务方面,我们很可能会继续看到BECs的财务影响增加。
3、恶意的快速响应码
2022年1月,美国联邦调查局发布了一项警告,称犯罪分子使用二维码将受害者重定向到恶意网站,窃取登录和财务信息。网络钓鱼防御中心(Phishing Defence Centre)也发现了类似的情况,威胁行为者使用恶意快速响应码针对德国银行的用户。重要的是要认识到,这类骗局既可以发生在数字空间,也可以发生在物理领域。
4、授权钓鱼
Microsoft和Mandiant都报告了攻击者向用户发送链接使用授权钓鱼的情况,如果点击这些链接,攻击者将授予应用程序和服务的访问和权限。
威胁行为者在Azure中创建并注册恶意应用程序,以试图获得对数据和应用程序的持久访问权。一旦非特权用户获得了批准的同意,他们就会收集访问令牌,然后拥有对受害者数据的帐户级访问权限,而不需要用户的凭据。
由于技术要求和资源投资的限制,且考虑到仍然有更简单的方法来获得社会工程目标,这种类型的攻击可能不是许多威胁组织的首选。但考虑到潜在的影响,以及被发现的几率较低,要么是因为缺乏可见性,要么是因为大多数组织不知情,我们很可能会看到同意网络钓鱼攻击的增加。
5、自动化
使用社会工程攻击的威胁行为者正在进一步自动化他们的操作。人工智能并不能立即应用于驱动网络钓鱼电子邮件,但随着自动化程度的提高,令人担忧的演变即将出现。威胁行为者可能会使用直接从公开数据泄露中提取的受害者信息,并在某些情况下结合多个数据转储中的信息,进行越来越多的定制化和个性化攻击。
此外,与这些数据相补充的开源信息,如社交媒体简介、公司和个人网站以及公布的文件,将为不法分子提供新的机会,这是在不久的将来可能会看到的情况。
6、通过FluBot的短信钓鱼
一个被广泛观察到的手机银行恶意软件是FluBot。它主要针对欧洲大部分地区的Android设备用户,并通过短信和彩信传播。受害者首先会收到一条冒充包裹递送公司、语音邮件备忘录或假冒软件的短信(称为smishing或SMS phishing)。该消息包含一个指向网站的链接,指示受害者安装应用程序。应用程序安装后,请求的权限就会被授予,有时安全功能也会被禁用。FluBot从受感染的设备向其联系人列表发送钓鱼短信,通过自我传播。它还将与活动运营商共享联系人列表,但对受害者来说,最大的问题是,它还收集信用卡号码和网上银行凭证,拦截短信(如一次性密码),并捕捉屏幕截图。
尽管FluBot不能在苹果设备(iOS)上运行,但iPhone用户也不安全。如果用户遵循短信中的链接,他们会被重定向到更“传统”的钓鱼网站和订阅骗局。
2022年6月,一项国际执法行动导致FluBot被破坏。虽然目前还没有迹象表明这种移动端恶意软件会重新出现,但考虑到经济收益、庞大的可用目标群以及相对容易的感染和传播,我们很可能会看到其他犯罪集团填补移动恶意软件领域的空白。
7、安全账户诈骗
据Europol报道,安全账户骗局是一种新兴的作案手法。在这种骗局中,攻击者告诉受害者,他们的银行账户已被泄露,从而说服他们将资金转移到“安全账户”。
为了让故事更有说服力,他们经常伪装成警察或金融机构的员工。不幸的是,这个所谓的安全账户处于骗子的控制之下,在转账完成后,受害者发现他们在几分钟内就失去了他们一生的积蓄。根据Agari和PhishLabs,在过去12个月里,盗版案件的数量也大幅增加,不低于550%(2022年第一季度与2021年第一季度相比)。在不久的将来,很可能会继续见证这一趋势。
7、长期运行的社会工程攻击
Dukes作为APT依赖社会工程作为其运作的主要技术的案例。但他们不是唯一的。伊朗威胁组织使用长期运行的社会工程活动进行网络间谍活动和信息操作。在2021年7月公布的“SpoofedScholars行动”中,威胁组织伪装成伦敦大学亚非研究学院的英国学者。他们的目标是高级智库人员、关注中东事务的记者以及教授,他们发出了非常有针对性的假会议邀请,这些邀请最终导致了证书窃取网站。
这个组织利用他们确定的目标对象的专业背景来构建故事,开展的活动则专注于引诱策略。他们的策略通常包括在社交媒体上伪装成一个迷人的女人,通过公司和个人平台建立联系,分享恶意文件,然后说服目标打开文件,目的是窃取敏感信息。考虑到以前活动的成功,未来很可能会继续看到来自伊朗地区的威胁行为者使用类似的社会工程间谍技术。
小 结
本文对社会工程中使用的攻击方法进行了简要介绍。结合上篇对社会工程的介绍,期望可以对读者了解社会工程有所帮助。
参考文献:《ENISA THREAT LANDSCAPE 2022 (July 2021 to July 2022)》