2021年奇怪的社會工程策略

李匯

大多數網絡攻擊的核心都是試圖說服目標受害者做一些有傷個人利益卻能讓攻擊者獲益的事情。可能是登錄網絡釣魚站點、更改發票上的付款詳細信息或打開包含惡意軟件的文件，但無論形式如何，其根本目的都是相同的。人是目標，但經過正確的培訓和防護，人同樣也能成為最好的防線。

ProofPoint總結了過去一年觀察到的一些最為奇怪的誘餌和社會工程策略，以進一步加強公眾對社會工程手段的認知，并最大限度地降低遭遇這種威脅的可能性。

足球誘餌

足球是世界上最受歡迎的運動之一，如果能引起合適俱樂部的注意，球員及其經紀人都可以輕松賺取數百萬美元。

2021年，ProofPoint研究人員觀察到多個使用足球誘餌向法國、意大利和英國的俱樂部傳播惡意軟件的社會工程活動。在這些案例中，威脅行為者冒充成代表非洲和南美年輕球員的體育經紀人，并表達了期待加入俱樂部的意圖。

惡意行為者發送給目標俱樂部的電子郵件中包括看似合法的視頻文件，以及展示訓練和比賽精彩集錦的YouTube鏈接。但實際上，這些視頻都是網絡搜索而來，且活動中發送的一些YouTube鏈接也是可以公開訪問的。不過，任何對這段視頻足夠感興趣并下載且啟用附加的Microsoft Excel文檔的受害者，都會感染Formbook惡意軟件。

Formbook是一款著名的商業惡意軟件，因其隱蔽且易用的特點聞名。其主要利用釣魚郵件進行傳播，一旦用戶不小心下載打開郵件附件，該惡意軟件就會安裝到終端上竊取機密數據和敏感信息。Formbook主要會從受害者的設備（如鍵盤記錄器）中竊取受害者的鍵盤輸入以及某些軟件的數據，例如瀏覽器、Email客戶端和FTP客戶端等個人信息，并使用C2的控制命令來操縱他們的設備或者服務器。

這個案例警告我們，網絡攻擊者將不遺余力地熟悉即使是最利基或專業企業的習慣，并制定極具針對性的攻擊策略，因此，任何企業都不能心存僥幸！

欺騙學者

許多網絡攻擊者依靠海量、低特異性的電子郵件誘餌，撒下一張大網，希望獵到一個不知情的受害者，進而訪問有價值的公司網絡。但這不是每個犯罪分子的作案手法。

2021年夏天，觀察到一些黑客組織，主要針對歐洲學者、異見人士、外交官和記者的活動。這次活動的不同之處在于攻擊者和受害者之間接觸的性質和持續時間。