译文｜7种新型社会工程策略

当前是社会工程学的繁荣时期，由于人们对收入、健康的担忧，造成了社会流行性恐慌，这也促使不法分子加剧了犯罪的念头。

当然，社会工程学的主要目标是人而非计算机系统，通过诱导、煽动情绪等方式，让人们在不经意间透露重要的信息。它的存在像“谎言”一样古老，并在当前的计算时代被赋予了新的名字——这是对社会工程策略如何演变的完美隐喻。

安全意识培训公司KnowBe4的首席战略官Perry Carpenter表示：“那些我们曾经熟悉的社会工程策略，已经开始通过新的伪装来试图再一次对我们发起攻击。”

正如安全专家一直以来所熟知的那样，任何一种攻击手段都会想方设法伪装自己来绕过防御策略，从而渗透到计算机系统当中。

社会工程学家总结了7种新的的社会工程策略，并预测这些策略将在2021年成为主流。

从去年开始，二维码诈骗事件开始频繁发生。因为扫描二维码往往会跳转到第三方服务商提供的网站，所以许多不法分子通过篡改或伪造二维码的方式让用户跳转到非法网站上，从而实施诈骗。

Carpenter表示：“人们潜意识里就习惯于认为二维码和网站都是合法安全的。”

不同国家和地区使用恶意二维码欺诈的方式也不一样。比如英国安全和分析公司CybSafe的首席执行官Oz Alashe就表示，他了解到有的人会直接分发带有恶意二维码的传单，忽悠别人“扫描二维码有机会获得Xbox一台”。

“一旦用户扫描了这个二维码，他的手机可能就会在不知不觉中被植入一款恶意软件。”Alashe如是说道。

许多网站会请求用户批准该网站的“通知”，从而向他们推送最新的资讯，而现在这种通知也成为了社会工程学可以利用的手段。

Carpenter表示：“许多用户会盲目地点击‘同意’来允许这些通知。”尽管有一部分用户会注意到这些通知的特殊性，但更多时候人们往往会认为这是电脑设备的提示而非浏览器的消息。

即使是对于不轻易批准通知的用户，不法分子同样可以通过安装其他通知脚本的方法来进行诱导。比如将“同意”选项伪装成另一种操作，或者在后台将“同意”和“拒绝”进行替换。

一旦不法分子取得了用户的“（恶意）同意”，他们就可以开始疯狂推送包含钓鱼网站以及恶意软件的信息。

Alashe说，通过社会工程学策略，不法分子会专门将一些特定行业的人作为诈骗目标，比如设计师、开发人员、安全研究人员等，以邀请他们进行工作上的合作为诱饵。

疫情的发生使得社会广泛认同了远程办公的便利性，这也给合作诈骗提供了非常好的机会。

安全公司Reblaze的联合创始人兼首席技术官Tzury Bar Yochay表示，不法分子会精心设计诈骗套路，将自己伪装成受害者行业的专业人士。比如针对安全研究人员，不法分子会将自己伪装成研究人员，同时还会提前建立足够证明他身份真实性的“假”证据，比如网站、播客等。

一旦受害者与其确立了信任关系，不法分子就可以利用受害者对于工作帮助的需要，以合作为由对其发送包含恶意代码的文件，受害者一旦打开，设备就将收到感染。

Sumo Logic的首席安全官George Gerchow表示，冒充供应链合作伙伴进行的社工攻击是当前企业安全面临的一大难题。

Gerchow说：“当你以为你收到了信任的合作伙伴发来的邮件，但实际上这些邮件可能都是不法分子伪造的。”

比如，Sumo Logic的员工就曾经收到过假的礼品卡优惠邮件，而这些礼品卡本来的确是来自于供应链合作伙伴的奖励和感谢，但却被不法分子趁机利用。而随着时间的推移，这种攻击的方式也会变得更加详细和完善。

“不法分子甚至开始假扮合作伙伴从而通过免费账户使用我们的产品，并且在这个过程中通过用例和方案来获取我们产品当中的专业技术。”

通过建立这些可信任的关系，攻击者的最终目标是让社会工程学策略更加有效，能够更好地绕过安全防御，或者将恶意软件发送到目标公司的系统当中。

社会工程学家发现已经有人开始使用Deepfake——一种逼真到令人震惊的录音，利用人工智能模拟某个人的外表或声音，可以诱骗受害者泄露重要信息，或对攻击者的行为提供帮助。

Reblaze公司的Bar Yochay表示，攻击者使用与真人声音几乎无法区别的“克隆”声音来创建骗局，早在2019年就有人通过Deepfake录音伪造某公司CEO的声音来指示员工将24万美元转入了国际账户。

Gerchow还说，他曾经亲眼看到不法分子通过Deepfake录音操纵员工汇款并提供个人信息，到目前为止Deepfake还只是录音，但他认为视频Deepfake只是时间问题。

“通过教育和训练提高员工的安全意识，定期开展自我报告是围绕这些社工攻击扩展安全性的唯一办法。”Gerchow说，“当然，这种教育不仅要全面覆盖所有的攻击手段，同时还要通俗易懂，让人容易接受。”

尽管文本欺诈一直是社工攻击的主要方式，但隐私安全专家Rebecca Herold表示，我们应该越来越重视文本欺诈。

“当前社会，越来越多的人喜欢发信息交流，这些信息里就包含了很多非常机密的信息类型。”

这些文本里，常见的诱饵包括COVID核酸检测的信息，这些信息会将受害者诱导至一个伪装成检测报告的网站，并要求受害者输入各类敏感信息用以登录。

还有一些文本欺诈甚至会冒充美国卫生与公共服务部，并告知受害者必须使用他们提供的链接进行“强制性在线核酸检测。”

“最终，就如同其他的社工攻击一样，受害者根本没有意识到自己被欺骗，而他们的个人信息已经被盗用，恶意软件也被安装到他们的计算机设备上。”

Carpenter说，域名抢注（或相似域）通常是企业电子邮件泄露所导致，不法分子通过伪装成正版域名，从而对受害者进行欺骗。

这种方式有很多，比如稍微修改域名的拼写（Gooogle和Google），添加其他域名（.uk和.co.uk），这些站点设计得更加复杂，对正版站点的模仿也更加地精细。

Carpenter表示：“社工攻击的受害者，之所以被骗，一是因为自信于自己的选择可以给他们带来安全感，二是他们为了寻求安全感，却正中了不法分子的下怀。”

不法分子不仅在这些盗版网站上植入恶意软件，受害者点击便会自动传播，同时还可以通过伪造的登录界面来获取受害者的个人信息和敏感数据。