大多數(shù)網(wǎng)絡(luò)攻擊的核心都是試圖說服目標(biāo)受害者做一些“損己利人”——有傷個人利益卻能讓攻擊者獲益——的事情。它可能是登錄網(wǎng)絡(luò)釣魚站點、更改發(fā)票上的付款詳細信息或打開包含惡意軟件的文件，但無論形式如何，其根本目的都是相同的。這也是我們強調(diào)“以人為本”的安全方法的原因所在。人是目標(biāo)，但經(jīng)過正確的培訓(xùn)和防護，人同樣也能成為最好的防線。

ProofPoint總結(jié)了過去一年觀察到的一些“最為奇怪的”誘餌和社會工程策略，以進一步加強公眾都社會工程手段的認知，并最大限度地降低遭遇這種威脅的可能性。

5、 足球誘餌

足球是世界上最受歡迎的運動之一，如果能引起合適俱樂部的注意，球員及其經(jīng)紀(jì)人都可以輕松賺取數(shù)百萬美元。

去年，ProofPoint研究人員觀察到多個使用足球誘餌向法國、意大利和英國的俱樂部傳播惡意軟件的社會工程活動。在這些案例中，威脅行為者冒充成代表非洲和南美年輕球員的體育經(jīng)紀(jì)人，并表達了期待加入俱樂部的意圖。

【用作社會工程活動的足球視頻，其中包含一位名叫William的年輕足球運動員的真實鏡頭】

惡意行為者發(fā)送給目標(biāo)俱樂部的電子郵件中包括看似合法的視頻文件，以及展示訓(xùn)練和比賽精彩集錦的YouTube鏈接。但實際上，這些視頻都是網(wǎng)絡(luò)搜索而來，且活動中發(fā)送的一些YouTube鏈接也是可以公開訪問的。不過，任何對這段視頻足夠感興趣并下載且啟用附加的Microsoft Excel文檔的受害者，都會感染Formbook惡意軟件。

Formbook是一款著名的商業(yè)惡意軟件，因其隱蔽且易用的特點聞名。其主要利用釣魚郵件進行傳播，一旦用戶不小心下載打開郵件附件，該惡意軟件將會安裝到終端上竊取機密數(shù)據(jù)和敏感信息。FormBook主要會從受害者的設(shè)備(如鍵盤記錄器)中竊取受害者的鍵盤輸入以及某些軟件的數(shù)據(jù)，例如瀏覽器，Email客戶端和FTP客戶端等個人信息，并使用C2的控制命令來操縱他們的設(shè)備或者服務(wù)器。

這個案例警告我們，網(wǎng)絡(luò)攻擊者將不遺余力地熟悉即使是最利基或?qū)I(yè)企業(yè)的習(xí)慣，并制定極具針對性的攻擊策略。因此，任何企業(yè)都不能心存僥幸!

4、 欺騙學(xué)者

許多網(wǎng)絡(luò)攻擊者依靠海量、低特異性的電子郵件誘餌，撒下一張大網(wǎng)，希望獵到一個不知情的受害者，進而訪問有價值的公司網(wǎng)絡(luò)。但這不是每個犯罪分子的作案手法。

去年夏天，我們觀察到一些涉及TA453——一個與伊朗相關(guān)聯(lián)的黑客組織，主要針對歐洲學(xué)者、異見人士、外交官和記者——的活動。這次活動的不同之處在于攻擊者和受害者之間接觸的性質(zhì)和持續(xù)時間。

2021年初，TA453 開始冒充倫敦大學(xué)亞非學(xué)院(SOAS)研究所的高級研究員，使用相似的電子郵件地址欺騙真正的學(xué)者。SOAS是專門研究亞洲、非洲和近東和中東的高等教育機構(gòu)，這也為TA453提供了聯(lián)系中東社會和政治領(lǐng)域各種專家的理想借口。

【TA453社會工程活動中使用的虛假會議邀請】

此次活動的目標(biāo)是通過一個虛假的網(wǎng)絡(luò)研討會注冊頁面竊取憑據(jù)，但在啟動這個計劃之前，攻擊者投入了大量時間與目標(biāo)人物建立關(guān)系。而且它不僅限于電子郵件通信，TA453 還試圖通過電話和視頻會議與受害者建立融洽關(guān)系。

3、 假但實用

去年，一些備受矚目的社會工程活動都使用了“華而不實”——制作精良卻并不實用——的誘餌，其中最著名的可能是BravoMovies ——一個用于傳播BazaLoader惡意軟件的虛假流媒體網(wǎng)站。

不過，有些攻擊者卻反其道而行，追求誘餌的實用性。在2021年8月的一次惡意軟件傳播活動中，攻擊者發(fā)送了一個Microsoft Excel文件，其中包含一個功能性運費計算器。

【提供Dridex惡意軟件的功能性運費計算器電子表格】

不幸的是，一旦受害者被誘餌“以假亂真”的設(shè)計所誘騙，便會成功感染Dridex惡意軟件。Dridex是一款針對Windows平臺的木馬，主要通過惡意垃圾郵件附件進行傳播。它不僅能夠聯(lián)系遠程服務(wù)器，發(fā)送有關(guān)感染系統(tǒng)的信息，而且還可以根據(jù)命令下載并執(zhí)行任意模塊，還可以作為整個企業(yè)范圍內(nèi)勒索軟件攻擊的立足點。

2、好消息，壞消息

A/B測試(A/B testing，也稱拆分測試，比較兩種模式查看哪個更好)對于大多數(shù)營銷人員來說是一個再熟悉不過的概念，但似乎一些網(wǎng)絡(luò)攻擊者也正在試驗這種社會工程技術(shù)。例如，在2021年圣誕節(jié)前發(fā)生的一項活動中，一些收件人收到一條“壞消息”——通知他們已被公司辭退，而另一些人則收到了晉升和假期獎金的“好消息”。

【來自同一Dridex惡意軟件交付活動的辭退和獎金主題誘餌】

然而，盡管命運明顯不同，但這兩條消息實際上都在傳遞“壞消息”——下載附加的Excel文件并單擊“啟用內(nèi)容”就會導(dǎo)致Dridex銀行木馬被投放到受害者的計算機上。而加載完Dridex惡意軟件，接下來您將面臨的將是巨額勒索通知頁面。

1、遺產(chǎn)或中獎——為什么不能兩者兼而有之?

您意外收到了250萬美元的遺產(chǎn)!等等，實際上，它是相同金額的可口可樂線上活動獎金。但是加拿大皇家銀行一心要沒收您的意外之財，或者說至少在賈斯汀·特魯多(Justin Trudeau)總理代表您進行干預(yù)之前，事情是這樣的。

現(xiàn)在，加拿大首席大法官正在給您發(fā)送電子郵件，告知您只需支付100美元即可解決所有這些問題。也就是說，只要您完成付款，250萬美元的獎金就會以ATM Visa卡的形式提供給您。

【精心設(shè)計的預(yù)付費欺詐電子郵件誘餌】

這是去年一位電子郵件欺詐者精心設(shè)計的騙局。預(yù)付費欺詐是一種非常古老的社會工程策略，但由于其種類繁多且翻新極快，每每讓人防不勝防，所以這種騙局的成功率還是可觀的。

本文翻譯自：https://www.proofpoint.com/us/blog/email-and-cloud-threats/rounding-2021s-strangest-social-engineering-tactic如若轉(zhuǎn)載，請注明原文地址。