信任是人際關(guān)系的核心，我們每天都本能地進(jìn)行信任評(píng)估。這些決策往往是在潛意識(shí)中進(jìn)行的，它指導(dǎo)我們的行為方式、我們投票支持的人、我們處理的業(yè)務(wù)以及我們對(duì)事情結(jié)果的信心。不幸的是，出于所有這些原因，信任也是每個(gè)犯罪分子的首選武器之一。從知道居民們信任他們的社區(qū)足以在炎熱的天氣里打開(kāi)窗戶的入室竊賊，到騙取老婦人畢生積蓄的騙子，信任是首選的武器。

就像其他犯罪分子一樣，網(wǎng)絡(luò)犯罪分子濫用信任，使用通常稱(chēng)為“社會(huì)工程”的策略來(lái)訪問(wèn)我們的數(shù)字系統(tǒng)并以多種方式竊取數(shù)據(jù)。但社會(huì)工程并不是濫用信任的唯一途徑。了解他們?nèi)绾卫梦覀冨e(cuò)誤的信任決策是防御的第一步。  

濫用數(shù)字信任通常涉及利用我們?cè)谌粘?shù)字生活中使用的應(yīng)用程序或工具來(lái)處理我們的業(yè)務(wù)或個(gè)人事物。這是一種越來(lái)越多地被壞人用來(lái)執(zhí)行惡意操作的技術(shù)，例如發(fā)送惡意軟件或網(wǎng)絡(luò)釣魚(yú)頁(yè)面的鏈接。

網(wǎng)絡(luò)釣魚(yú)背后的一個(gè)含義是數(shù)字信任的武器化：攻擊者利用受害者信任和熟悉的知名品牌。任何類(lèi)型的工具、應(yīng)用程序或在線服務(wù)都可能被惡意模仿。這就解釋了為什么被模仿最多的品牌通常是由領(lǐng)英、谷歌、亞馬遜和微軟等在我們的數(shù)字生活中發(fā)揮重要作用的公司領(lǐng)導(dǎo)的。當(dāng)然，網(wǎng)絡(luò)釣魚(yú)背后的另一個(gè)含義是對(duì)人性的利用；例如，挑逗受害者的好奇心或制造緊迫感（如需要支付的運(yùn)費(fèi)發(fā)票）。第二個(gè)方面解釋了為什么像 DHL 這樣的品牌經(jīng)常排在排行榜的首位：留下來(lái)自受信任品牌的鏈接邀請(qǐng)確實(shí)是一個(gè)非常有效的方式。從攻擊者的角度來(lái)看，信任和好奇心（或緊迫性）的結(jié)合是致命的。

同樣，利用合法的云服務(wù)?來(lái)分發(fā)惡意內(nèi)容（例如惡意軟件或網(wǎng)絡(luò)釣魚(yú)頁(yè)面）是一種網(wǎng)絡(luò)釣魚(yú)技術(shù)，這種技術(shù)在過(guò)去幾年中變得越來(lái)越普遍，這得益于員工的分布以及隨之而來(lái)的對(duì)云服務(wù)的日益普及（和信任）。在這種情況下，攻擊者不僅利用了個(gè)人（看到熟悉的品牌和合法證書(shū)）對(duì)云應(yīng)用的數(shù)字信任，還利用了組織（他們認(rèn)為云提供商受信任，因此他們不會(huì)對(duì)非云網(wǎng)絡(luò)流量強(qiáng)制執(zhí)行相同的安全控制）對(duì)云應(yīng)用的數(shù)字信任。攻擊者還依賴(lài)一些額外的因素來(lái)增加攻擊的成功率；例如，他們無(wú)需擔(dān)心基礎(chǔ)設(shè)施的準(zhǔn)備工作，而可以從隨時(shí)準(zhǔn)備就緒、可用且有彈性的基礎(chǔ)設(shè)施發(fā)起攻擊。根據(jù)最新的 Netskope?云和威脅報(bào)告顯示，在過(guò)去 12 個(gè)月中，47% 的惡意軟件是由云應(yīng)用分發(fā)的。

同一份Netskope 報(bào)告還發(fā)現(xiàn)，搜索引擎優(yōu)化 (SEO) 是一種越來(lái)越普遍的用于武器化數(shù)字信任的技術(shù)。為了證實(shí)這一趨勢(shì)，網(wǎng)絡(luò)釣魚(yú)下載量在過(guò)去 12 個(gè)月一直在上升，攻擊者使用SEO技術(shù)獲取在熱門(mén)搜索引擎(包括谷歌和必應(yīng))排名靠前的惡意PDF文件。SEO 的濫用當(dāng)然不是什么新鮮事，但它現(xiàn)在比以往任何時(shí)候都更有效，因?yàn)樘嗟娜讼嘈殴雀瑁ㄒ约耙话愕乃阉饕妫┤缤F(xiàn)代的神諭。這意味著他們忽略了一個(gè)事實(shí)：即使鏈接在搜索引擎中排名靠前，也不意味著它是合法且無(wú)害的。疫情導(dǎo)致的后果之一是，我們將信任從現(xiàn)實(shí)生活轉(zhuǎn)移到了數(shù)字世界，為威脅者提供了新的可能性。

回顧一下過(guò)去12個(gè)月惡意軟件下載最多的類(lèi)別，可以發(fā)現(xiàn)這一趨勢(shì)還在延續(xù)：“技術(shù)”（27%）高居榜首，領(lǐng)先于“搜索引擎”（15%）、“新聞和媒體” ”（11%）、“流媒體和可下載視頻”（11%）和“共享軟件/免費(fèi)軟件”（8%）。攻擊者將對(duì)專(zhuān)業(yè)工具（技術(shù)）或個(gè)人習(xí)慣（新聞和媒體或流媒體和可下載視頻）的信任變成對(duì)互聯(lián)網(wǎng)公民的威脅。

事實(shí)上，“共享軟件/免費(fèi)軟件”出現(xiàn)在惡意軟件引薦來(lái)源列表中的前列引發(fā)了另一個(gè)重要問(wèn)題，這與個(gè)人和組織需要接受新的安全文化有關(guān)。同樣，利用這一類(lèi)別傳遞惡意內(nèi)容并不是什么新鮮事。然而，這是一個(gè)個(gè)人和企業(yè)相關(guān)使用公司設(shè)備的界限模糊的時(shí)代，忽視表面行為（例如在企業(yè)設(shè)備中下載免費(fèi)軟件而無(wú)視企業(yè)政策）可能會(huì)給個(gè)人和組織本身帶來(lái)痛苦的后果。當(dāng)你考慮到“共享軟件/免費(fèi)軟件”也是直接惡意軟件傳播的最主要類(lèi)別之一(排名第五，占5%)，僅次于內(nèi)容服務(wù)器和技術(shù)(均占23%)，未分類(lèi)(14%)和商業(yè)(6%)，這個(gè)壞習(xí)慣尤其危險(xiǎn)。

建立安全文化意味著教育人們了解他們可以在多大程度上獲得數(shù)字信任。從技術(shù)角度來(lái)看，應(yīng)用于組織的等效概念當(dāng)然是零信任原則，它否定了隱式信任的概念，并將訪問(wèn)模型從“信任，但驗(yàn)證”范式轉(zhuǎn)變?yōu)椤膀?yàn)證，然后信任”。 當(dāng)被邀請(qǐng)打開(kāi)鏈接或從受信任的來(lái)源下載產(chǎn)品時(shí)，無(wú)論是出于個(gè)人目的還是專(zhuān)業(yè)目的，用戶都應(yīng)采用相同的方法，用一種明確的、持續(xù)自適應(yīng)的信任取代隱式信任。但由于錯(cuò)誤是人為的，因此組織還應(yīng)采取技術(shù)對(duì)策，采用零信任方法，以確保只有具有正確安全策略的用戶才能訪問(wèn)內(nèi)部資源。

原標(biāo)題：How Threat Actors Weaponize Your Trust

作者：Paolo Passeri 

鏈接：https://www.infosecurity-magazine.com/blogs/threat-actors-weaponize-trust/?