前   言

社會工程包括一系列廣泛的活動，這些活動試圖利用人為錯誤或人為行為，以獲取信息或服務。它使用各種形式的操作來誘騙受害者犯錯或交出敏感、機密信息。在網絡安全領域，社會工程誘使用戶打開文件/電子郵件、訪問網站或授權未經授權的人訪問系統或服務。

本文為上篇，從三個方面對社會工程進行簡要介紹，主要包括社會工程趨勢、社會工程攻擊實施設備和社會工程攻擊實例，期望可以使讀者對社會工程有初步的了解。

社會工程趨勢

社會工程，特別是網絡釣魚仍然是攻擊者進行惡意活動的流行技術。根據Verizon數據泄露調查報告 (Data Breach Investigations Report，DBIR)，大約82%的數據泄露涉及人為因素，歐洲、中東和非洲不少于60%的泄露包括社會工程成分。犯罪分子對社會工程感興趣的潛在原因是顯而易見的。電子郵件是他們最容易聯系到潛在受害者的地方。盡管開展了提高認識的活動和練習，用戶還是會上當受騙。此外，根據DBIR的說法，攻擊者繼續使用竊取的憑證，通過公司電子郵件獲取目標的更多詳細信息。

Europol和FBI報告稱，網絡釣魚和社交工程仍然是支付欺詐的主要媒介，其數量和復雜性都在增加。波耐蒙研究所(Ponemon Institute)報告稱，2021年網絡釣魚的成本是2015年的三倍多，解決這些攻擊最耗時的任務是清理和修復受感染系統以及進行取證調查。

值得注意的是，2021年，曼迪昂特觀察到的通過網絡釣魚發起的入侵要少得多。當曼迪昂特發現最初的漏洞時，2021年網絡釣魚僅占入侵的11%，而2020年這一比例為23%。這些數字是基于曼迪昂特的調查，而不是基于全球惡意活動的遙測。

一般來說，社會工程的目標以及對受害者的影響是獲得信息/服務或獲得關于特定主題的知識，但也用于經濟利潤。因此，金融機構是被網絡釣魚者冒充的最主要組織之一。除金融行業外，犯罪分子的社會工程活動主要圍繞科技行業展開，微軟、蘋果和谷歌等品牌是最受冒充的目標。同時社會工程活動也會模仿遠程工作者使用的流行云服務、流媒體或媒體提供商使用的平臺。

社會工程攻擊實施的服務

創建釣魚網站并為社會工程活動設置底層基礎設施可能是一項乏味的工作。因此，犯罪分子越來越多地轉向網絡釣魚工具包提供的現成材料，或者利用“網絡釣魚即服務”的服務模式。

IBM報告稱，網絡釣魚工具包的部署壽命通常很短，幾乎三分之一的部署工具包的使用時間不超過一天。根據Microsoft的說法，現代網絡釣魚工具已經足夠復雜，可以通過使用拼寫、語法和圖像來偽裝成合法的內容。在同一份報告中，微軟指出，使用這些工具包的歹徒也可以被愚弄。一些工具包包含“附加”功能，不僅可以將獲得的憑證發送給釣魚者，還可以發送給工具包的原始作者或復雜的中介。從受害者的角度來看，這可能會嚴重加劇事件的影響，因為被盜的證件現在會落入幾個不同的團伙手中。

網絡釣魚工具包還考慮了地區差異，過濾掉不受歡迎的代理，添加混淆選項，并作為軟件即服務包的一部分出售:網絡釣魚即服務(Phishing-as-a-Service ，PhaaS)。這些服務并不新鮮，但微軟關于bulletproflink運營的一份報告顯示了它的復雜程度、專業的商業模式和自動化的使用。PhaaS訪問成本低，且部署相對容易，因此攻擊者很可能通過PhaaS基礎設施運行的網絡釣魚活動不會很快消失。

PhaaS的擴展是初始訪問代理的使用。這種由社會工程專家組成的供應鏈首先向一個組織打開了“閘門”，之后他們將他們的訪問權限(通常是憑證或安裝的遠程訪問工具)移交給后續參與者。正如DBIR之前所述，攻擊者可以利用這一點與受害者接觸或進一步深入組織。近年來，內部犯罪的市場進一步繁榮，主要是因為犯罪組織不斷要求容易接觸到受害者組織。

由于威脅組織(負責初始訪問的組織，惡意軟件或勒索軟件的組織，敲詐勒索的組織)的日益多樣化、專業化，我們很可能會看到更多的初始訪問代理首先進入受害者組織，然后將其訪問用于后續犯罪活動，或者間諜活動。

谷歌的威脅分析組于2022年3月記錄了一場由初始訪問代理(稱為“異國百合”)發起的攻擊活動。該組織利用網絡釣魚電子郵件利用微軟MSHTML中的一個漏洞，似乎為傳播Conti和Diavol勒索軟件的團體提供了初始訪問權限。郵件的有效負載包括使用磁盤映像(ISO)文件。但他們并不是觀察到的使用磁盤映像的唯一威脅參與者。

社會工程攻擊實例

實例1：The Dukes發起的魚叉網絡釣魚運動

ESET揭露了一個由Dukes (也被稱為APT29、Cozy Bear或Nobelium)進行的魚叉網絡釣魚活動。在2021年10月和11月，該間諜組織以多個歐洲外交使團和外交部為目標，其攻擊方法類似于他們之前針對法國和斯洛伐克組織的行動。在最新的行動中，黑客冒充其他政府機構，說服受害者打開一個HTML文件，然后下載一個磁盤映像(ISO或VHDX)。在這個磁盤映像中，攻擊者存儲了更多的惡意軟件，最終獲得了一個Cobalt Strike信標。磁盤映像是逃避防御以傳遞惡意軟件的強大方法。web標記(MOTW)不能應用于磁盤映像內的文件，因此它逃避SmartScreen，并且不會向用戶警告潛在的不安全文件正在被打開。

2021年7月，Dukes也進行了類似的活動：在這次活動中，攻擊者最初的電子郵件冒充比利時駐愛爾蘭大使館的工作人員，不包含惡意內容。只有在受害者回復后，才會收到一封帶有ZIP附件的后續電子郵件，該附件中包含了一個磁盤映像(ISO)，然后導致了Cobalt Strike。首先發送一封非惡意電子郵件，然后再發送一封包含有效載荷的后續消息，這種方法也被主要活躍在亞洲的威脅行為者SideWinder所采用。

實例2:烏克蘭戰爭主題襲擊

美國網絡安全公司Proofpoint在2022年3月披露了一場可能由民族國家支持的網絡釣魚活動，該活動利用一名可能已被攻破的烏克蘭武裝服役人員的電子郵件帳戶，針對參與管理逃離烏克蘭難民后勤的歐洲政府人員進行釣魚攻擊。

谷歌揭示，戰火紛飛的烏克蘭已成為不法之徒的網絡釣魚和惡意軟件活動的溫床。其中，COLDRIVER這一神秘角色尤為引人矚目，它乃一來自俄羅斯的威脅行動者，時而被稱為Callisto。據稱，COLDRIVER利用偽造證書的釣魚郵件瞄準政府官員、國防人員、政治家、非政府組織、智庫和記者等群體。此外，COLDRIVER還曾對東歐多國軍隊以及一個北約卓越中心發起攻擊。

根據這項研究，Sekoia揭示了威脅行動者Turla (也稱為Snake或venous Bear)在歐洲進行的基于網絡釣魚的偵察活動。在這次活動中，威脅行為者的目標是波羅的海防務學院的網站以及奧地利聯邦經濟商會。

考慮到已經發生的恐怖事件，未來很可能出現類似烏克蘭戰爭主題的社會工程攻擊（其他類型的網絡攻擊），其目標直指歐洲政府、平民和組織。

小  結

本文主要從社會工程趨勢、社會工程攻擊實施設備和社會工程攻擊實例三個方面對社會工程進行簡要介紹，期望可以對想要初步了解社會工程的讀者有所幫助。下篇將對社會工程中用到的攻擊方法進行介紹。