社交工程学是很多行动的基本功,这其中既包括正义行动、也包括威胁攻击,这是一个技术和心理学完美结合的领域。但目前的状况是,其在攻击方面的使用远远高于正义行动,并由此对追求正义的人们构成了严重了威胁。IYP 对社交工程学的演示和分析大部分以协助防御为目的,先做好自我保护,才有能力回击
如下文列出的“延伸阅读”表单,IYP 已经介绍过很多关于网络钓鱼 - 社交工程攻击 - 的技巧和注意事项。本文可作为一个大略的归总:列出诱饵的基本特征,再次强调应该在哪些方面予以重视。
如今,我们的电子邮件和社交媒体交流中正潜伏着各种各样网络钓鱼骗局。即便是你现在没有发现,那么也许明天或者是后天……总有一天会遭遇。遭遇网络钓鱼不仅仅有财产损失、家庭破裂、人身威胁等常见灾难,并且,随着社交工程学正在被全球阴暗政府利用来针对任何政权不喜欢的人发起攻击,一旦不留神,你将很有可能被抓捕入狱,遭受酷刑折磨。
因为任何高端的间谍软件能否顺利投入使用的关键就在于,吸引目标人的一个点击动作。
延伸阅读:当局对钓鱼网站进行了大规模的升级,以便向所有访问者发送恶意软件,不分青红皂白地针对访问这些网站的个人进行识别和跟踪!看看美国、中国和墨西哥政府正在如何利用社交工程学实施网络钓鱼《执法部门正在大力投资骇客技术,用于攻击他们想要的一切人》
研究人员发表的报告声明:电子邮件中的网络钓鱼骗局已经变得越来越难以阻止,攻击者正在创新和完善他们的诱饵,使网络钓鱼更逼真从而对用户更具吸引力和说服力。
Webroot 公司首席信息安全官 Gary Hayslip 表示:虽然用户越来越警惕各种钓鱼诈骗的攻击,各种防网络钓鱼软件也不少,但还是不能阻挡各种各样的钓鱼诈骗攻击。正所谓“道高一尺魔高一丈”,网络钓鱼攻击依旧通过各种方式,来骗取个人用户和企业的信息。
《⚠️ 渔艺正在升级:URSNIF 恶意软件新变种通过回复邮件即可实现传播》
Hayslip表示:
“我觉得电子邮件中的网络钓鱼骗局已经到了普遍存在的地步。用户现在也习惯下意识地点击查看网络钓鱼电子邮件,即便他们明知不应该这么做。这就是攻击者利用人性来实施攻击活动的可怕之处!”
人们总是充满好奇心和同情心,渴望通过自己的力量来帮助有需要的人,而这两种品质正是他们易受网络钓鱼攻击的根源所在。当他们中招了以后,他们又习惯用“我当时忙糊涂了”“我忘了”“我本应该知道这是钓鱼邮件的”等诸多借口,来推脱自己打来恶意电子邮件的错误行为。
Hayslip补充道:
“无论你采用多少技术手段和工具来阻止它们,它们总有办法成功欺骗用户”。
近日,Webroot 公司扫描了过去18个月内的成千上万封网络钓鱼电子邮件,以了解有关针对特定目标的常见主题行的发展趋势。Hayslip 向全美约100名首席信息安全官展示了此次调查结果,并了解到:“很多人都会收到类似的邮件”。在网络钓鱼电子邮件中经常可以看到与财务有关的消息和紧急通知,尽管是在不同的主题之下。
Cofense(前身为 PhishMe)的网络安全战略家 John“Lex”Robinson 回应了 Hayslip 的观点,并表示攻击者对于他们发送的电子邮件的背景以及他们的攻击目标,已经有了越来越深地了解。他说:
“如果把我们今天的沟通方式(包含许多流行语)与15年前、20年前甚至30年前相比,可能就显得不那么通俗了。但是网络钓鱼邮件要求的从来都不是通俗,而是要与商业行话保持一致。”
以下是一些*最常见*的网络钓鱼主题行,并向大家展示它们所包含的信息,以及它们所揭示的攻击者的目标和策略等内容。
1. 紧急求助
当攻击者不希望目标犹豫不决时,他们就会在主题行中传达一种紧迫感,因为他们希望你能够快速做出决定。
也许该钓鱼邮件不会直接说“紧急求助”,而是选择言语之间存在类似的暗示。Hayslip 表示,作为一名首席信息安全官,他就经常会看到人们因为想要提供帮助而中招,而且重要的是,很多受害者的心理活动是,并不想因为没有采取某些可能很重要的行动而受到惩罚。对于这种情况,Hayslip 特意告诉员工:
“我宁愿你去寻求专业帮助,也不愿你因为做错事而陷入困境。我建议你可以忽略任何在主题行中言及‘紧急’字眼的未知邮件。因为真的紧急的事情可以通过很多其他更高效的途径来解决,例如打电话。”
2. 发票
在 Cofense 检测到的 “Top10 网络钓鱼邮件主题行” 中,“发票”一词就独占6大主题行(只是表达方式有所差异),这也说明在考虑网络钓鱼主题时,财务动机仍然处于主导地位。
在谈及 Cofense 追踪到的最常见的网络钓鱼骗局时,Robinson 表示:
“对我来说,最有意思的是绝大多数网络钓鱼骗局都涉及金钱主题。很显然,金钱对每个人来说都是一个极具刺激性的话题……当你有了这样一个极具刺激性的话题时,就能立即引起人们的兴趣。”
虽然前6个骗局的具体消息内容有所不同,但所有人都试图用“发票”一词作为主题来吸引他们的目标。金钱是一个强大的动力,攻击者很清楚地知道这一点,并且正在利用它来击垮人们的心理防线。根据数据显示,在 Cofense 扫描的网络钓鱼电子邮件中,大约有 100,000 个电子邮件是利用“发票”一词作为主题的。
Cofense 研究人员还发现,“付款汇款”是另一个受欢迎的标题,其使用量也超过了 40,000 封电子邮件。同时,“声明”和“付款”也是非常受欢迎的主题。
WebRoot 则发现,“电汇”也是一种常见的选择,当然还有一些电子邮件会更具体:“您最近的 Chase 付款通知”是另一个受欢迎的财务主题。
需要注意的是,不要以为网络钓鱼欺诈只会发生在没有上网经验的人身上,即使是互联网公司也会遭到电汇诈骗,而且诈骗数额不小,已经达到数百万美元。
谷歌和 Facebook 的会计部门电脑上由于被安装了恶意软件,通过查阅它们的转账记录瞄准了一个开发商,开了数百万美元的发票。虽然事后经过执法机关的努力,追回了损失;但其他公司就不会这么幸运了,2016 年价值 30 亿美元被电汇诈骗,绝大部分都无法追回。
3. 银行通知
Hayslip 表示,针对公司高管的经济动机网络钓鱼攻击,往往需要攻击者付出更多的努力和研究,以及更为严谨的措辞和语法。他解释称:
“我认为,这就是‘捕鲸攻击’(whaling attacks)和普通的网络钓鱼攻击之间的区别。所谓“捕鲸攻击”,实际上是一种欺诈类型,钓鱼者找到某个公司高层或高管团队的姓名和电子邮件地址(此类信息通常会在网页上免费提供),并撰写与这些人员及其公司职位相称的电子邮件。这些电子邮件会试图诱使高管们单击某个链接并访问某个网站,在此恶意软件会下载到其计算机中,并复制按键记录或搜出敏感信息或公司机密。”
针对高级员工实施网络钓鱼活动的攻击者,会希望其钓鱼邮件信息尽可能真实。他们可能会向行政助理发送包含特定银行名称或“紧急协助”信号的欺诈性电子邮件。他们会先对目标机构所选择的银行进行研究,并尝试模仿银行发布的通知信息。
此外,攻击者还可能会联系助理,称他们的 CEO 或 CFO 正在旅行并遇到了一些财务问题,需要经济上的帮助,并利用诸如此类的借口来证明资产转移的合理性和可信性。
4.账户验证
这一主题行与直接的经济收益关系不大,但与知识产权盗窃存在很大关联。这种类型的攻击通常会进行凭证钓鱼(credential phishing),为了在目标网络内获取立足点。
许多线上服务都需要有凭证作为确认服务真实性的基础,但是凭证钓鱼就会企图获取线上服务的凭证,因此,凭证一旦遭窃,攻击者就可以直接获取所需的各类信息,包括使用者的账号、密码等等。
在进行凭证钓鱼时,就需要通过“账户验证”之类的请求来引诱你进入登录页面以验证你的凭证。因为在一系列后续活动中,攻击者需要获取到你的用户名和密码等数据,而想要获取这些信息,就可能涉及冒充您经常使用的品牌发送“账户验证”主题的钓鱼邮件。
5.拷贝或文档拷贝
虽然恶意链接在钓鱼电子邮件中日益普遍,但 Robinson 认为,附件也仍然很受欢迎,且十分有效,尤其是与发票、付款通知和声明相关的电子邮件,或者是在线订购和结算相关的警报中。
这符合攻击者提高他们对业务环境的理解的趋势。因为如果他们知道员工经常发送文件的事实,就会知道恶意电子表格或 Word 文件形式的附件是合理的。越来越多的附件,以及将宏视为主要交付方式的事实,均表明攻击者越来越善于理解业务环境,以至于他们清楚地知道在网络钓鱼电子邮件中放入什么内容才是正常的。
此外,许多网络钓鱼邮件的主题都非常短,甚至只有一两个字。这也表明攻击者理解现代商业沟通的方式是相对非正式的。因为商业环境中的人奔波忙碌,不必设置非常正式、具体的主题。
就该主题而言,创建标准的沟通流程和政策可以帮助组织有效地防御这种形式的网络钓鱼攻击。组织可以向员工展示这些电子邮件应该来自哪里,以及它们应该采取何种格式,以便他们能够及时发现欺诈性邮件。
6. 行动请求,如“支付卖家尾款”
目标往往会轻信此类钓鱼邮件主题。在电子邮件中采用“我们需要您这样做”相关的主题行,往往能够成功地诱使目标完成攻击者需要他们完成的任何事情。
调查数据也指出,在面对与“行动请求”相关的主题时,人们实际上确实是这样做的——在与“行动请求”相关的钓鱼邮件中,恶意链接的点击率高达约 40%,攻击者会将受害者重定向到虚假的人力资源网站,以窃取其登录凭证。受害者在被骗后会悔悟称,“我知道我当时不应该那样做。”
在过去一年中,攻击者已经从使用恶意附件转化为嵌入恶意链接。如今,大多数网络钓鱼电子邮件中都包含恶意链接,并且从表面看来,受害者越来越难以判断这些链接是否可以安全点击。因为在过去,他们可以将鼠标悬停在一个链接上来查看它是否可疑;但是随着攻击者的技能升级,这种方式如今已经起不了作用了。
7.亚马逊/淘宝等网购:您的订单#812-4623 可能已到达
这就是我们曾经演示过的以色列公司 NSO 著名间谍软件攻击流亡异议人士时所使用的方法,在这里看到案例描述。
Hayslip 指出,这种类型的网络钓鱼电子邮件通常会在假日期间出现(比如马上就要到来的双11盛典)。他解释称,每逢重大节假日,各类商家都会向目标客户发送大量打折促销、快递动态等邮件,这时候,钓鱼电子邮件也就伺机而动了。
此外,一些特定类型的攻击还会在一年中的不同时间段出现:例如,金融和财务相关的骗局会在税收季到来时泛滥;而在圣诞节期间就会出现“支付”相关的欺诈性消息。
Hayslip 补充道,该消息也可能并不会特别提及包裹是否已经到达,它可能会以您最近购买东西的收据为诱饵,并附带恶意附件。
经常在网上购物的人,很大机会会毫不犹豫地点击这些电子邮件,以查看其中的内容确定自己买的什么东西,何时能够到达等等。当然,他们也就会毫不犹豫地点击其中的恶意链接来查看他们多订购的商品,而当他们发现自己的设备已经感染恶意软件时,早已悔之晚矣。
🔐 用户应该如何警惕钓鱼邮件?
1. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙;
2. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬;
3. 尤为重要的是不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接;
4. 留意网址–多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含);
5. 不同账号使用不同口令,不要使用同样的口令;
6. 不要使用很简单的口令,(如000000、生日等);
7. 更妥善的办法就是:把危险隔离出去,在这里看到详细方案《❗️如何隔离危险》
以上肯定不是全部,随着这些防御基本技巧被披露,攻击者肯定会另辟新途径卷土重来。但很多思路明显会大同小异。所以,一方面我们应该时刻警惕新的技术和攻击案例的披露,另一方面,对于 IYP 提供给的技巧,您应该可以灵活使用。还是那句话:如果不想被黑,那就要像骇客一样思考。◾️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport