1、已知賬戶的網絡釣魚

多因素身份驗證(multi-factor authentication ，MFA)的使用減少了攻擊者使用攻擊帳戶作為啟動社會工程活動的樞紐點的機會。因此，我們看到攻擊者不再以單個郵箱為目標，而是轉向合法的基礎設施來執行他們的操作。

這種策略轉變的一個例子是攻擊者注冊Office 365服務的試用租戶，這使得他們的電子郵件看起來更加合法。其他方法包括通過ProxyShell或ProxyLogin侵入Microsoft Exchange服務器，然后向內部和外部用戶帳戶發送釣魚電子郵件。為了進一步欺騙潛在的受害者，攻擊者還會劫持郵件對話，在某些情況下，每次攻擊都會修改回復消息的字體和語言，以增加成功的機會。

我們很可能會看到進一步使用已知帳戶或合法基礎設施來執行網絡釣魚活動，要么利用Microsoft Exchange等系統的漏洞。

2、商務郵件泄露

根據互聯網犯罪報告，商業電子郵件泄露(Business E-mail Compromise，BEC)是最具經濟影響的網絡犯罪類型之一。

BECs“受歡迎”的原因之一是，攻擊者不必經歷多階段攻擊的所有麻煩，也不必在未知環境中尋找方法，攻擊者只需“要求”執行金融交易(或根據其目標的變體)。雖然BEC攻擊可以被視為網絡釣魚，但它并不像濫用信任、模仿和其他社會工程技術那樣依賴于惡意軟件或惡意鏈接。

與前幾年相比，企業電子郵件攻擊的交易規模中位數進一步大幅增加了。根據DBIR的數據，只有41%的BECs涉及網絡釣魚，大約25%的BECs涉及對受害者組織使用竊取的證書。盡管執法機構努力打擊BEC攻擊，例如國際刑警組織作為黛利拉行動的一部分的逮捕行動，但這類攻擊對罪犯來說仍然非常有利可圖。考慮到財務方面，我們很可能會繼續看到BECs的財務影響增加。

3、惡意的快速響應碼

2022年1月，美國聯邦調查局發布了一項警告，稱犯罪分子使用二維碼將受害者重定向到惡意網站，竊取登錄和財務信息。網絡釣魚防御中心(Phishing Defence Centre)也發現了類似的情況，威脅行為者使用惡意快速響應碼針對德國銀行的用戶。重要的是要認識到，這類騙局既可以發生在數字空間，也可以發生在物理領域。

4、授權釣魚

Microsoft和Mandiant都報告了攻擊者向用戶發送鏈接使用授權釣魚的情況，如果點擊這些鏈接，攻擊者將授予應用程序和服務的訪問和權限。

威脅行為者在Azure中創建并注冊惡意應用程序，以試圖獲得對數據和應用程序的持久訪問權。一旦非特權用戶獲得了批準的同意，他們就會收集訪問令牌，然后擁有對受害者數據的帳戶級訪問權限，而不需要用戶的憑據。

由于技術要求和資源投資的限制，且考慮到仍然有更簡單的方法來獲得社會工程目標，這種類型的攻擊可能不是許多威脅組織的首選。但考慮到潛在的影響，以及被發現的幾率較低，要么是因為缺乏可見性，要么是因為大多數組織不知情，我們很可能會看到同意網絡釣魚攻擊的增加。

5、自動化

使用社會工程攻擊的威脅行為者正在進一步自動化他們的操作。人工智能并不能立即應用于驅動網絡釣魚電子郵件，但隨著自動化程度的提高，令人擔憂的演變即將出現。威脅行為者可能會使用直接從公開數據泄露中提取的受害者信息，并在某些情況下結合多個數據轉儲中的信息，進行越來越多的定制化和個性化攻擊。

此外，與這些數據相補充的開源信息，如社交媒體簡介、公司和個人網站以及公布的文件，將為不法分子提供新的機會，這是在不久的將來可能會看到的情況。

6、通過FluBot的短信釣魚

 一個被廣泛觀察到的手機銀行惡意軟件是FluBot。它主要針對歐洲大部分地區的Android設備用戶，并通過短信和彩信傳播。受害者首先會收到一條冒充包裹遞送公司、語音郵件備忘錄或假冒軟件的短信(稱為smishing或SMS phishing)。該消息包含一個指向網站的鏈接，指示受害者安裝應用程序。應用程序安裝后，請求的權限就會被授予，有時安全功能也會被禁用。FluBot從受感染的設備向其聯系人列表發送釣魚短信，通過自我傳播。它還將與活動運營商共享聯系人列表，但對受害者來說，最大的問題是，它還收集信用卡號碼和網上銀行憑證，攔截短信(如一次性密碼)，并捕捉屏幕截圖。

盡管FluBot不能在蘋果設備(iOS)上運行，但iPhone用戶也不安全。如果用戶遵循短信中的鏈接，他們會被重定向到更“傳統”的釣魚網站和訂閱騙局。

2022年6月，一項國際執法行動導致FluBot被破壞。雖然目前還沒有跡象表明這種移動端惡意軟件會重新出現，但考慮到經濟收益、龐大的可用目標群以及相對容易的感染和傳播，我們很可能會看到其他犯罪集團填補移動惡意軟件領域的空白。

7、安全賬戶詐騙

據Europol報道，安全賬戶騙局是一種新興的作案手法。在這種騙局中，攻擊者告訴受害者，他們的銀行賬戶已被泄露，從而說服他們將資金轉移到“安全賬戶”。

為了讓故事更有說服力，他們經常偽裝成警察或金融機構的員工。不幸的是，這個所謂的安全賬戶處于騙子的控制之下，在轉賬完成后，受害者發現他們在幾分鐘內就失去了他們一生的積蓄。根據Agari和PhishLabs，在過去12個月里，盜版案件的數量也大幅增加，不低于550%(2022年第一季度與2021年第一季度相比)。在不久的將來，很可能會繼續見證這一趨勢。

7、長期運行的社會工程攻擊

Dukes作為APT依賴社會工程作為其運作的主要技術的案例。但他們不是唯一的。伊朗威脅組織使用長期運行的社會工程活動進行網絡間諜活動和信息操作。在2021年7月公布的“SpoofedScholars行動”中，威脅組織偽裝成倫敦大學亞非研究學院的英國學者。他們的目標是高級智庫人員、關注中東事務的記者以及教授，他們發出了非常有針對性的假會議邀請，這些邀請最終導致了證書竊取網站。

這個組織利用他們確定的目標對象的專業背景來構建故事，開展的活動則專注于引誘策略。他們的策略通常包括在社交媒體上偽裝成一個迷人的女人，通過公司和個人平臺建立聯系，分享惡意文件，然后說服目標打開文件，目的是竊取敏感信息。考慮到以前活動的成功，未來很可能會繼續看到來自伊朗地區的威脅行為者使用類似的社會工程間諜技術。

小  結

本文對社會工程中使用的攻擊方法進行了簡要介紹。結合上篇對社會工程的介紹，期望可以對讀者了解社會工程有所幫助。

參考文獻：《ENISA THREAT LANDSCAPE 2022 (July 2021 to July 2022)》