在社会工程渗透测试(链接位于 ibm.com 外部)中,安全专家 Gavin Watson、Andrew Mason 和 Richard Ackroyd 写道,大多数假托攻击包含两个主要元素:人物和情境。
人物是欺骗者在故事中所扮演的角色。 为了与潜在受害者建立信任,欺骗者通常会冒充受害者的上司,例如老板或高管,或者受害者信任的人,例如同事、IT 员工或服务提供商。 一些攻击者可能会尝试冒充目标受害者的亲朋好友。
情境是欺骗者编造的虚假故事的情节 — 冒充的人物要求受害者为他们做事的原因。 情境可能比较普通,例如,“需要更新帐户信息”,也可能非常具体,特别是在诈骗者针对特定的受害者时。
为了使他们的人物模仿和情境可信,威胁实施者通常会在网上研究他们的人物和目标。 这并不难做到。 根据 Omdia 的一份报告 (链接位于 ibm.com 外部),黑客只需要在 Google 上搜索 100 分钟,就可以根据社交媒体内容和其他公共来源的信息编造出一个让人信服的故事。
建立人物可信度的其他方法包括模仿该人物的电子邮件地址或电话号码,或完全未经授权地使用其实际的电子邮件帐户或电话号码并发送消息。 从以下事件可以一窥假托攻击的未来:2019年,诈骗者通过使用 人工智能 (AI),冒充一家英国能源公司母公司 CEO 的声音,并拨打诈骗电话,要求向供应商付款,从该公司骗取了 243,000 美元。
商业电子邮件泄露
商业电子邮件泄露 (BEC) 是一种特别恶劣的有针对性的社会工程攻击,高度依赖于假托方法。 在 BEC 中,人物是现实生活中的公司高管或高级业务助理,是目标受害者的上司或对其具有影响力。 情境是该人物需要帮忙以完成紧急任务 — 例如, 我被困在机场但忘了密码 — 你能把我的密码发送到支付系统吗 (或者 你能将 XXX,XXX.XX 金额的钱电汇到银行账户#YYYYYY ,以支付所附的发票吗?)
BEC 愈演愈烈,已成为造成损失最大的网络犯罪之一。 根据 《IBM 2022 年数据泄露成本》 报告,BEC 导致的数据泄露平均给受害者造成 489 万美元的损失。 根据 美国联邦调查局互联网犯罪投诉中心 的数据(PDF,1.3 MB;链接位于 ibm.com 外部),BEC 在 2021 年导致受害者损失近 24 亿美元。
账户更新骗局
在这种骗局中,诈骗者假装是一家公司的代表,提醒受害者账户存在问题,例如账单信息失效或存在可疑购买。 诈骗者会提供一个链接,让受害者访问一个虚假网站,从而窃取他们的身份验证凭证、信用卡信息、银行账号或社会保险号。
老年人骗局
像许多社会工程骗局一样,这种欺诈以老年人为目标。 网络犯罪分子会冒充受害者的孙辈,假装他们遇到了某种麻烦 — 例如,他们遭遇车祸或被捕,需要祖父母给他们寄钱,以支付医院账单或保释费。
爱情骗局
在约会假托欺诈中,诈骗者假装想要与受害者建立恋爱关系。 在获得受害者的欢心后,欺诈者通常会提出金钱要求来消除他们在一起的最后障碍 — 例如沉重的债务、法律义务,甚至是与受害者见面的机票费用。
加密货币骗局
诈骗者冒充拥有万无一失的加密货币商机的成功投资者,将受害者引导到虚假的加密货币交易所,致使受害者的财务信息或资金被盗。 根据联邦贸易委员会 (FTC) (链接位于 ibm.com 外部)的数据,在 2021 年 1 月至 2022 年 3 月期间,美国消费者因加密诈骗共损失超过 10 亿美元。
国税局/政府骗局
诈骗者冒充国税局官员、执法人员或其他政府代表,声称受害者陷入了某种麻烦 — 例如,没有纳税,或者上了逮捕令 — 并指示受害者付款以避免抵押贷款留置、扣发工资或入狱。 当然,付款会进入诈骗者的户头。
假托是许多社会工程骗局的关键组成部分,包括:
网络钓鱼。 如前所述,假托在有针对性的网络钓鱼攻击中特别常见,包括鱼叉式网络钓鱼(针对特定个人的网络钓鱼攻击)和捕鲸攻击(针对对敏感信息或系统有特殊访问权限的高管或员工的鱼叉式网络钓鱼)。
但是,假托在非针对性的“广撒网式”电子邮件网络钓鱼、语音钓鱼 (vishing) 或短信文本网络钓鱼 (smishing) 骗局中也发挥着作用。 例如,诈骗者可能会向数百万人发送诸如 “[此处为全球银行名称]:您的账户已透支”,期望有一定比例的收件人是银行的客户,并且这些客户中的一定比例会回复该消息。
尾随。 尾随有时称为“背靠背攻击”,是指未经授权的人员跟随授权人员进入需要授权的地点,例如有安保检查的办公楼。 诈骗者会使用假托法使他们的尾随尝试更加成功 — 例如,冒充送货员并要求毫无戒心的员工为他们打开上锁的门。
诱饵。 在诱饵攻击中,犯罪分子通过诱骗受害者使用有吸引力但已遭入侵的诱饵来下载恶意软件。 诱饵可以是实体的(例如,装有恶意代码并非常显眼地留在公共场所的 USB),也可以是数字的(例如,声称免费下载电影的广告,实际是恶意软件)。 诈骗者经常使用假托使诱饵更具诱惑力。 例如,诈骗者可能会在受感染的 USB 驱动器上贴上标签,以暗示它属于特定公司并包含重要文件。
一些特定于行业的法律中有针对假托的明确条款。 1999年《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act) 将金融机构的假托定为刑事犯罪,规定以虚假借口获取客户金融信息是犯罪行为;它还要求金融机构对员工进行检测和预防假托的培训。 2006 年的《电话记录和隐私保护法》明确禁止使用假托访问电信提供商持有的客户信息。
2021 年 12 月,美国联邦贸易委员会 (FTC) 提出了一项新规则(链接位于 ibm.com 外部),正式禁止冒充任何政府机构或企业。 该规则授权 FTC 打击常见的假托手段,例如未经许可使用企业徽标,创建模仿合法企业的虚假网站以及假冒企业电子邮件。
与任何其他形式的社会工程攻击一样,打击假托绝非易事,因为它利用的是人类心理,而不是可以补救的技术漏洞。 但是组织可以采取一些有效的措施。
- 基于域的消息认证报告 (DMARC): DMARC 是电子邮件认证协议,可以防止电子欺骗。 DMARC 可验证电子邮件是否是从其声称的域发送。 如果发现电子邮件是由假冒地址发送,可以自动将其转移到垃圾邮件文档夹或直接删除。
- 其他 网络安全 技术: 除了 DMARC 之外,组织还可以实施 AI 驱动的电子邮件过滤器,以检测已知假托攻击中使用的短语和主题行。 安全的 Web 网关可以防止用户访问钓鱼邮件链接而进入可疑网站。 如果攻击者通过假托获得对网络的访问权限,那么 端点检测和响应 (EDR)、网络检测和响应 (NDR)、扩展检测和响应 (XDR) 平台等网络安全技术可以 拦截恶意活动。
- 安全意识培训: 由于假托会操纵人们损害自己的安全,因此培训员工发现并正确应对假托诈骗有助于保护组织。 专家建议模拟现实生活中的假托示例,帮助员工区分假托和同事的合法请求。 培训还可以包括明确的规定,针对 处理有价值信息、授权付款以及在答应请求之前核实其来源。