2020年流行“低科技”攻擊
長期以來,那些手套上鑲著半打零日漏洞寶石,頭上頂著三個博士帽的的國家級黑客,被認為是網(wǎng)絡(luò)空間最為危險的物種。
但是 2020 年信息安全領(lǐng)域最危險的,也許不是西伯利亞虎這樣的珍稀野生動物,而是滿地亂跑傳播鼠疫的草原旱獺。因為黑客界正在流行 “低科技“ 攻擊,通過一些廉價甚至免費的社工手段和工具,給個人、企業(yè)甚至國家造成重大損失。
低科技攻擊的最大 “優(yōu)點” 就是成本低廉。如今網(wǎng)絡(luò)釣魚即服務(wù) (PaaS) 市場一片繁榮景象,五花八門的全套網(wǎng)絡(luò)釣魚套件也是唾手可得,“投入少見效快” 的 DNS 放大攻擊已占近一半的 DDoS 流量,黑帽 SEO 和 ASO 長盛不衰,甚至高大上的 APT 攻擊也開始流行使用免費的開源工具和惡意軟件。
在暗網(wǎng)中,網(wǎng)絡(luò)釣魚工具包半賣半送,貴的不到 300 美元,工具包內(nèi)容齊全,通常包括 HTML,PHD 文件、圖像等搭建釣魚站點的 “建材”。這些快速搭建的釣魚站點可以 “高仿” 任何一個大品牌(例如工商銀行、百度網(wǎng)盤、微軟、Adobe、LinkedIn等)的合法登錄頁面。隨機化生成器會創(chuàng)建多個 URL,即使一個 URL 被列入黑名單,其他 URL 仍然能發(fā)揮作用。絕大多數(shù)釣魚站點的存續(xù)時間只有 24 小時,打一槍換個地方,難以追查。
以下,安全牛列舉幾種 “低科技“ 攻擊方式,提請注意防范:
一張紙質(zhì)邀請函繞過全世界最先進的防火墻
煞費苦心地設(shè)計一個重要會議的高仿釣魚網(wǎng)站,然后發(fā)送釣魚電子郵件 “投餌” 這種套路已經(jīng)被玩爛了,而且越來越難以穿透現(xiàn)代化網(wǎng)絡(luò)安全深度防御體系的層層關(guān)卡。
那么,一封給那些愛慕虛榮的公司高管發(fā)送重要會議的精美紙質(zhì)邀請函呢?紙質(zhì)邀請函不但能繞過 “第N代防火墻”,還能繞過秘書的人肉防火墻,直達總裁辦公桌。當然,為了方便領(lǐng)導參會,邀請函末尾肯定會附上一個 “貼心” 的二維碼。
郵件標題:經(jīng)部門領(lǐng)導反復研究,決定給你補發(fā)30萬年終獎
有一種野蠻的釣魚方式叫:魚叉式釣魚,命中率極高而且每年都會涌現(xiàn)一些讓人拍大腿的騷操作。
例如攻擊者先發(fā)送郵件到公司的 HR 或者財務(wù)部門,通過回信獲得公司的郵件樣式。然后代表公司財務(wù)給你發(fā)送一封讓你無法拒絕的郵件(例如上面杜撰的標題)。
還有一些釣魚工作者甚至會群發(fā)公司相關(guān)部門的郵件列表,通過 “正在休假” 的自動回復篩選出離崗員工,假扮這些員工給目標員工發(fā)信(可能通過個人郵箱或者 “二級賬戶”)。對于那些較為警惕不肯輕易打開附件的員工,釣魚者還會換個攻擊姿勢,設(shè)置 “搜索引擎陷阱”,用預先 SEO 優(yōu)化過的惡意軟件頁面蹲守上網(wǎng)核查信息的員工。
“1個小時內(nèi)必須打款!” 能模仿高管語調(diào)的深度偽造語音
今年三月份,一家英國能源公司的首席執(zhí)行官在德國母公司老板的電話催促下,向黑客賬戶匯去 243,000 美元,不幸成為全球第一個深度偽造 BEC 攻擊的受害者,堪稱深度學習武器化的標志性事件。攻擊者使用的深度偽造軟件不僅可以模仿聲音,還可以模仿音調(diào),標點符號停頓和老板的德語口音。但這只是 2020 年大規(guī)模深度偽造+BEC 郵件攻擊的開始,據(jù)《華盛頓郵報》報道,網(wǎng)絡(luò)安全公司賽門鐵克透露至少已經(jīng)發(fā)生了三起類似的深度欺詐性語音欺詐案件。
正如牛津大學未來人類研究所的報告《人工智能的惡意使用》所指出的那樣,人工智能的新進展不僅擴大了現(xiàn)有威脅,而且創(chuàng)造了新威脅。更糟糕的是,AI 的武器化和民主化大大降低了深度偽造技術(shù)的使用門檻和獲取成本,網(wǎng)絡(luò)犯罪分子壓根無需掌握精深的人工智能技術(shù)。
例如,下載一個語音偽造工具,只需要五秒鐘聲音素材就可以偽造任何一個人的語音。
會飛的 “大菠蘿”:無人機攻擊
一提到無人機攻擊,我們首先想到的是無人機的武器化,例如今年一月份的也門刺殺事件和 9 月份沙特阿拉伯油田遭遇胡塞武裝的武器化無人機攻擊,此外,早些年伊斯蘭國用大疆無人機+羽毛球自制的無人機投彈器,這些都屬于物理攻擊。
無人機發(fā)起的數(shù)字攻擊主要是竊聽、偵察、無線電劫持、WiFi 嗅探等,而且攻擊成本和難度都很低。2016 年,以色列的研究人員在一座辦公大樓附近操縱無人機,利用 ZigBee 無線電協(xié)議中的缺陷,入侵了大樓內(nèi)的智能燈泡。
另外,在 2019 年影響力較大的一次智能電視破解事件中,安全分析人員動用了一個廉價無人機來實施對智能電視的劫持和利用,甚至可以讓智能電視通知智能音箱刷單購物。
對于一些物理隔離或者有嚴格數(shù)據(jù)風險管控的機構(gòu)來說,無人機也是一個潛在的數(shù)據(jù)漏點。針對日益增長的無人機空中威脅,IEEE 還專門發(fā)布了一篇題為《無人機黑客:物聯(lián)網(wǎng)的安全和隱私威脅》的報告討論此事。
其實,只要在無人機上搭載一個樹莓派或者 “大菠蘿”(一種公開售賣的 WiFi 數(shù)據(jù)包嗅探工具),就可以變成 “黑客無人機”,借助這些 “黑客無人機” 輕松 “前往” 那些一般到不了的地方——比如高樓的會議室、“安全” 園區(qū)深處的建筑等等。黑客不僅可以利用無人機到各種地方,更可以利用遠程操作來減少自己在現(xiàn)場被人贓俱獲的可能。
兵器譜排名第一的大殺器:VEC(企業(yè)電子郵件泄露)
2019 年末,豐田子公司(豐田紡織)因外部電子郵件攻擊導致 3,700 萬美元損失,另一家目前尚未披露具體名字的美國大公司則因企業(yè)電子郵件攻擊損失了 5,000 萬美元。
到 2020 年,企業(yè)電子郵件泄露 (VEC) 的商務(wù)電子郵件泄露 (BEC) 將成為針對企業(yè)的最主要的電子郵件欺詐攻擊手段。
網(wǎng)絡(luò)犯罪集團發(fā)起的 VEC 攻擊會劫持公司電子郵件帳戶,監(jiān)視通信,然后假冒該帳戶的合法所有者,最終達到欺騙整個上下游供應(yīng)鏈企業(yè)的目的。
在安全牛此前報道過的,目前仍在進行中的 “江南工業(yè)風” 釣魚郵件攻擊中,中招的韓國、日本和中國化工企業(yè)收到了來自供應(yīng)鏈上游或者下游企業(yè)的非常專業(yè)的招投標郵件(上圖:郵件附件是極為專業(yè)逼真的設(shè)計圖和報價單)。
根據(jù) FinCEN 的報告,傳統(tǒng)的商務(wù)郵件攻擊平均可以給攻擊者帶來 50,000 美元的凈收入,而一次成功的 VEC 攻擊的凈收入平均為 12.5 萬美元。而發(fā)動這些進攻的黑客,使用的往往是免費的 APT 工具和 “過期” 的惡意軟件。
- IEEE《無人機黑客:物聯(lián)網(wǎng)的安全和隱私威脅》報告地址:https://ieeexplore.ieee.org/document/8658279
- 牛津大學未來人類研究所《人工智能的惡意使用》地址:https://arxiv.org/ftp/arxiv/papers/1802/1802.07228.pdf
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
