大多數網絡攻擊的核心都是試圖說服目標受害者做一些“損己利人”——有傷個人利益卻能讓攻擊者獲益——的事情。它可能是登錄網絡釣魚站點、更改發票上的付款詳細信息或打開包含惡意軟件的文件，但無論形式如何，其根本目的都是相同的。這也是我們強調“以人為本”的安全方法的原因所在。人是目標，但經過正確的培訓和防護，人同樣也能成為最好的防線。

ProofPoint總結了過去一年觀察到的一些“最為奇怪的”誘餌和社會工程策略，以進一步加強公眾都社會工程手段的認知，并最大限度地降低遭遇這種威脅的可能性。

5、 足球誘餌

足球是世界上最受歡迎的運動之一，如果能引起合適俱樂部的注意，球員及其經紀人都可以輕松賺取數百萬美元。

去年，ProofPoint研究人員觀察到多個使用足球誘餌向法國、意大利和英國的俱樂部傳播惡意軟件的社會工程活動。在這些案例中，威脅行為者冒充成代表非洲和南美年輕球員的體育經紀人，并表達了期待加入俱樂部的意圖。

【用作社會工程活動的足球視頻，其中包含一位名叫William的年輕足球運動員的真實鏡頭】

惡意行為者發送給目標俱樂部的電子郵件中包括看似合法的視頻文件，以及展示訓練和比賽精彩集錦的YouTube鏈接。但實際上，這些視頻都是網絡搜索而來，且活動中發送的一些YouTube鏈接也是可以公開訪問的。不過，任何對這段視頻足夠感興趣并下載且啟用附加的Microsoft Excel文檔的受害者，都會感染Formbook惡意軟件。

Formbook是一款著名的商業惡意軟件，因其隱蔽且易用的特點聞名。其主要利用釣魚郵件進行傳播，一旦用戶不小心下載打開郵件附件，該惡意軟件將會安裝到終端上竊取機密數據和敏感信息。FormBook主要會從受害者的設備(如鍵盤記錄器)中竊取受害者的鍵盤輸入以及某些軟件的數據，例如瀏覽器，Email客戶端和FTP客戶端等個人信息，并使用C2的控制命令來操縱他們的設備或者服務器。

這個案例警告我們，網絡攻擊者將不遺余力地熟悉即使是最利基或專業企業的習慣，并制定極具針對性的攻擊策略。因此，任何企業都不能心存僥幸!

4、 欺騙學者

許多網絡攻擊者依靠海量、低特異性的電子郵件誘餌，撒下一張大網，希望獵到一個不知情的受害者，進而訪問有價值的公司網絡。但這不是每個犯罪分子的作案手法。

去年夏天，我們觀察到一些涉及TA453——一個與伊朗相關聯的黑客組織，主要針對歐洲學者、異見人士、外交官和記者——的活動。這次活動的不同之處在于攻擊者和受害者之間接觸的性質和持續時間。

2021年初，TA453 開始冒充倫敦大學亞非學院(SOAS)研究所的高級研究員，使用相似的電子郵件地址欺騙真正的學者。SOAS是專門研究亞洲、非洲和近東和中東的高等教育機構，這也為TA453提供了聯系中東社會和政治領域各種專家的理想借口。

【TA453社會工程活動中使用的虛假會議邀請】

此次活動的目標是通過一個虛假的網絡研討會注冊頁面竊取憑據，但在啟動這個計劃之前，攻擊者投入了大量時間與目標人物建立關系。而且它不僅限于電子郵件通信，TA453 還試圖通過電話和視頻會議與受害者建立融洽關系。

3、 假但實用

去年，一些備受矚目的社會工程活動都使用了“華而不實”——制作精良卻并不實用——的誘餌，其中最著名的可能是BravoMovies ——一個用于傳播BazaLoader惡意軟件的虛假流媒體網站。

不過，有些攻擊者卻反其道而行，追求誘餌的實用性。在2021年8月的一次惡意軟件傳播活動中，攻擊者發送了一個Microsoft Excel文件，其中包含一個功能性運費計算器。

【提供Dridex惡意軟件的功能性運費計算器電子表格】

不幸的是，一旦受害者被誘餌“以假亂真”的設計所誘騙，便會成功感染Dridex惡意軟件。Dridex是一款針對Windows平臺的木馬，主要通過惡意垃圾郵件附件進行傳播。它不僅能夠聯系遠程服務器，發送有關感染系統的信息，而且還可以根據命令下載并執行任意模塊，還可以作為整個企業范圍內勒索軟件攻擊的立足點。

2、好消息，壞消息

A/B測試(A/B testing，也稱拆分測試，比較兩種模式查看哪個更好)對于大多數營銷人員來說是一個再熟悉不過的概念，但似乎一些網絡攻擊者也正在試驗這種社會工程技術。例如，在2021年圣誕節前發生的一項活動中，一些收件人收到一條“壞消息”——通知他們已被公司辭退，而另一些人則收到了晉升和假期獎金的“好消息”。

【來自同一Dridex惡意軟件交付活動的辭退和獎金主題誘餌】

然而，盡管命運明顯不同，但這兩條消息實際上都在傳遞“壞消息”——下載附加的Excel文件并單擊“啟用內容”就會導致Dridex銀行木馬被投放到受害者的計算機上。而加載完Dridex惡意軟件，接下來您將面臨的將是巨額勒索通知頁面。

1、遺產或中獎——為什么不能兩者兼而有之?

您意外收到了250萬美元的遺產!等等，實際上，它是相同金額的可口可樂線上活動獎金。但是加拿大皇家銀行一心要沒收您的意外之財，或者說至少在賈斯汀·特魯多(Justin Trudeau)總理代表您進行干預之前，事情是這樣的。

現在，加拿大首席大法官正在給您發送電子郵件，告知您只需支付100美元即可解決所有這些問題。也就是說，只要您完成付款，250萬美元的獎金就會以ATM Visa卡的形式提供給您。

【精心設計的預付費欺詐電子郵件誘餌】

這是去年一位電子郵件欺詐者精心設計的騙局。預付費欺詐是一種非常古老的社會工程策略，但由于其種類繁多且翻新極快，每每讓人防不勝防，所以這種騙局的成功率還是可觀的。

本文翻譯自：https://www.proofpoint.com/us/blog/email-and-cloud-threats/rounding-2021s-strangest-social-engineering-tactic如若轉載，請注明原文地址。