社会工程并不是一个新概念,即使在网络安全领域也是如此。 仅网络钓鱼诈骗就已经存在了近 30 年,攻击者不断寻找新的方法来诱使受害者单击链接、下载文件或提供敏感信息。
商业电子邮件妥协 (BEC) 攻击通过让攻击者获得对合法电子邮件帐户的访问权限并冒充其所有者来重复此概念。 攻击者认为受害者不会质疑来自可信来源的电子邮件——而且往往他们是对的。
但电子邮件并不是网络犯罪分子用来进行社会工程攻击的唯一有效手段。 现代企业依赖于一系列数字应用程序,从云服务和 VPN 到通信工具和金融服务。 更重要的是,这些应用程序是相互关联的,因此可以破坏一个应用程序的攻击者也可以破坏其他应用程序。 组织不能只专注于网络钓鱼和 BEC 攻击——尤其是在业务应用程序妥协 (BAC) 呈上升趋势的情况下。
定位单点登录
企业使用数字应用程序是因为它们既有用又方便。 在远程工作时代,员工需要从广泛的位置和设备访问关键工具和资源。 应用程序可以简化工作流程,增加对关键信息的访问,并使员工更轻松地完成工作。 组织内的单个部门可能使用数十个应用程序,而平均每家公司使用 200 多个. 不幸的是,安全和 IT 部门并不总是了解这些应用程序,更不用说批准这些应用程序了,这使得监督成为一个问题。
身份验证是另一个问题。 创建(并记住)唯一的用户名和密码组合对于使用数十种不同应用程序来完成工作的任何人来说都是一个挑战。 使用密码管理器是一种解决方案,但 IT 部门可能难以实施。 相反,许多公司简化了他们的身份验证流程 通过单点登录 (SSO) 解决方案,它允许员工登录批准的帐户一次以访问所有连接的应用程序和服务。 但由于 SSO 服务使用户可以轻松访问数十个(甚至数百个)业务应用程序,因此它们是攻击者的高价值目标。 SSO 提供商当然有自己的安全特性和功能——但人为错误仍然是一个难以解决的问题。
进化的社会工程学
许多应用程序——当然还有大多数 SSO 解决方案——都具有多因素身份验证 (MFA)。 这使得攻击者更难破坏帐户,但这当然不是不可能的。 MFA 对用户来说可能很烦人,他们可能不得不每天多次使用它登录帐户——导致不耐烦,有时甚至粗心大意。
一些 MFA 解决方案要求用户输入代码或出示指纹。 其他人只是问,“这是你吗?” 后者虽然对用户来说更容易,但为攻击者提供了操作空间。 已经获得一组用户凭据的攻击者可能会尝试多次登录,尽管知道该帐户受 MFA 保护。 通过使用 MFA 身份验证请求向用户的手机发送垃圾邮件, 攻击者增加受害者的警觉疲劳. 许多受害者在收到大量请求后,假设 IT 正在尝试访问该帐户或单击“批准”只是为了阻止大量通知。 人们很容易生气,而攻击者正在利用这一点为自己谋利。
在许多方面,这使得 BAC 比 BEC 更容易完成。 参与 BAC 的对手只需要纠缠他们的受害者做出错误的决定。 通过以身份和 SSO 提供商为目标,攻击者可以获得对潜在数十种不同应用程序的访问权限,包括 HR 和薪资服务。 Workday 等常用应用程序通常使用 SSO 进行访问,从而允许攻击者从事直接存款和工资单欺诈等活动,这些活动可以将资金直接汇入他们自己的账户。
这种活动很容易被忽视——这就是为什么拥有可以识别可疑行为的网络内检测工具很重要,即使来自授权用户帐户也是如此。 此外,企业应优先使用 抗网络钓鱼快速身份在线 (FIDO) 安全密钥
使用 MFA 时。 如果 MFA 的 FIDO-only 因素不切实际,下一个最好的办法是禁用电子邮件、SMS、语音和基于时间的一次性密码 (TOTP) 以支持推送通知,然后配置 MFA 或身份提供商策略以限制访问托管设备作为附加的安全层。
优先考虑 BAC 预防
最新产品 研究表明
51% 的事件使用了 BEC 或 BAC 策略。 虽然不如 BEC 广为人知,但成功的 BAC 允许攻击者访问与该帐户关联的范围广泛的企业和个人应用程序。 社会工程学对于今天的攻击者来说仍然是一种高回报的工具——一种与旨在阻止它的安全技术一起发展的工具。
现代企业必须教育他们的员工,教他们如何识别潜在骗局的迹象以及在哪里报告。 随着企业每年使用更多的应用程序,员工必须与他们的安全团队携手合作,帮助系统保持免受日益狡猾的攻击者的攻击。
