社会工程攻击不是是否会发生的问题,而是一定会发生。员工终究会接到“紧急”电子邮件或电话,要求他们赶紧转账到安全账户、立即登录企业网络,或者安装远程访问木马。社会工程攻击一直以来都是网络罪犯确保高成功率的不二法门。但新冠肺炎疫情导致的远程办公增长,还是将社会工程技术转变成了前所未有的充满无限创造力和景气度的工具。
在家办公时,员工无法获得公司安全解决方案提供的全方位防护,只能依赖自己的直觉,而这正是网络安全团队最糟的噩梦。意识到这场灾难的规模后,很多公司迅速开展员工安全意识培训。
为评估问题的范围,Group-IB在一家物流公司开展了社会工程渗透测试项目。测试采用了新冠肺炎疫情相关的钓鱼托辞,呈现了员工对此类话题丝毫不减的“热情”。Group-IB将精心编制的网络钓鱼电子邮件通过貌似归属公司IT部门的虚假邮箱地址发送出去。超过半数(51%)的测试对象在虚假虚拟专用网门户登录页面上提交了他们的登录凭证。
▶ 某些社会工程攻击比其他攻击更有效
社会工程攻击测试项目还揭示出,某些攻击技术比其他技术更加有效。2020年该公司开展的100多个社会工程攻击测试项目中,语音电话(“语音网络钓鱼”)的有效程度优于内置虚假资源链接或可执行附件的网络钓鱼电子邮件。语音网络钓鱼的成功率为37%,因受害者通常不会预期接到此类电话而上钩率惊人。此外,攻击者可以调整脚本以匹配受害者行为的变化,并利用他们的情绪。
除了获取个人或机密信息,语音网络钓鱼攻击还可用于获取基础设施访问权。近期的一个案例中,Group-IB的渗透测试员以进行安全事故调查为借口,成功说服23名员工在备份门户(网络钓鱼资源)上进行身份验证。
语音网络钓鱼结合网络钓鱼(即有通往虚假资源的链接,又添加了可执行附件)更是极致高效:2020年75%的社会工程攻击测试成功突破测试对象防护。至于钓鱼托辞,效率最高的是奖金制度的变化(成功率20.6%),IT系统的变化(17.8%)紧随其后,然后是公司重要活动的公告(16.3%)。
▶ 执行更多测试未必能解决问题
鉴于以上统计数据,你可能会觉得执行更多社会工程渗透测试有助于提高员工的网络钓鱼防范意识。但实际上并非如此,因为渗透测试如果不与其他措施一并实施是没有效果的。如果你决定攻击一下自己试试,那你需要做得明智些。
可以参考下面这个案例。X公司时不时对自己的员工开展社会工程攻击测试。但对基本网络安全概念的认知还是没有改善:员工继续点击恶意链接和满足攻击者提出的要求。
于是,这家公司决定正式确立其测试计划,要用不同的钓鱼托辞以相同的形式每年执行四次社会工程攻击测试。但结果与之前更为随意的测试并没有什么不同:员工仍然点击恶意URL,仍然与渗透测试员沟通,仍然交出机密信息。
而且,测试的有效性很大程度上取决于钓鱼托辞的相关性。尽管每次测试的安全意识提升效果都会增加一点点,但在第三季度,基于新冠肺炎疫情的钓鱼托辞又让员工完全忘记了之前收到的所有培训、指南和建议。原来,该公司压根儿没有开展其他任何安全意识提升活动,仅仅只搞了测试。
▶ 网络安全培训缺失了什么
研究还发现,员工并不知道在发现社会工程攻击后该怎么做。他们不仅需要知道如何识别攻击,还需要学会怎样应对攻击。公司应该培训员工在任何情况下都不要联系攻击者(或合法渗透测试员),而是立即通知安全团队。但不幸的是,用户(尤其是小公司里的用户)往往意识不到这一点。
最重要的是,对自己展开攻击测试不应该是简单直白的实战演习。没错,经常培训员工识别各种潜在社会工程方法、对所有外部边界服务实施强制双因子身份验证,还有采用有效恶意软件引爆工具,这些都很重要。但更重要的是,培训和社会工程攻击测试应该旨在确保公司内部的有效沟通。需要教导员工如何检测攻击和及时有效地应对攻击。他们需要明确的指示和交互式指南(如维基页面、视频等等)。
有创意一点。在学习体验中大胆加入游戏元素,激发和最大化参与度。比如说,Group-IB最近的内部渗透测试中,检测并恰当报告了社会工程攻击的员工就收到了成就徽章,可以兑换公司奖励。
此外,每次渗透测试后召开回顾会议收集反馈也很重要。不讨论出了什么问题以及如何改进,就无法汲取教训做出改善。
把注意力从常规演练和记忆社会工程攻击检测指令上移开,转向解释现代攻击都来自何方,以及为什么每名员工都必须参与攻击检测。社会工程渗透测试如果缺乏有意识的创造性方法,那怎么培训都不会有效果的。