2023攻防应知应会｜蓝军社工钓鱼套路揭秘

社会工程学攻击是一种利用人性弱点实施的网络攻击。一个完整的社会工程学攻击流程可以大致分为四个步骤：

1. 信息搜集：攻击者通过各种手段收集目标的个人和机构信息，包括社交媒体、公开数据、员工名单等。这些信息用于制定个性化的攻击计划。

   
   

2. 发展信任关系：攻击者与目标建立信任关系，可能通过伪装成合法身份或利用社交工具进行接触。他们会利用社交工具、邮件、电话等方式与目标交流，逐渐获得其信任和合作。

   
   

3. 执行攻击：在建立了信任关系后，攻击者会投递诱饵，比如恶意链接、虚假文件、欺骗性的请求等，以引诱目标点击或提供敏感信息。一旦目标中招，攻击者便获得了所需的访问权限或敏感信息。

   
   

4. 退出交互：为了保持隐蔽性，攻击者在完成攻击后会尽量清除攻击痕迹，避免被发现。他们可能删除相关通信记录，清理受感染设备，并采取其他措施以减少被追踪的可能性。

图：社会工程学攻击的生命周期

在钓鱼正式开始前，需要对目标水域有一个详细全面的了解，包括：鱼情勘探、钓点选择等。这一步尤为重要，鱼多的地方，就是扔个石子也会有鱼过去瞅几眼。同理，在网络钓鱼开始前，攻击手会通过多种手段收集目标信息，来辅助制定战术方案。常见手段包括：

1. 搜索引擎：攻击者可以使用搜索引擎来查找与目标相关的公开信息。通过搜索电子邮件地址、公司名称等关键词，可以获取有关目标的基本背景和其他公开信息；同时攻击者通过高级搜索语法，能够搜集到暴露的员工职位信息、联系方式等，甚至还有不经意泄露的敏感文件。

   
   

2. 官网信息：攻击者可能浏览目标公司或组织的官方网站，以获取关于组织结构、员工联系信息、职位要求和招聘流程等有用的信息。通过官网信息了解目标公司的重要通知、近期动态，这些信息可以帮助攻击者更好地伪装成合法的人员或欺骗受害者。

   
   

3. 社交网站：攻击者借助一些流行的社交媒体平台，如Boss直聘、抖音、脉脉等。通过分析目标的社交圈、兴趣爱好、职业经历等信息，攻击者可以更好地塑造虚假身份，以获取目标的信任。

   
   

4. 已泄露数据：攻击者利用已经发生的数据泄露事件中的信息来获取目标的敏感数据。这些泄露的数据可能包括电子邮件账户、用户名和密码等，这些信息可能导致邮箱密码被直接泄露沦为僵尸邮箱、这些信息也可能会被用来进行更有针对性的欺骗攻击。

   
   

5. 信息探测：与开源信息收集不同，攻击者前期也会主动与目标人员、资产接触去获取有价值的信息，例如：通过邮箱扫描工具去筛选邮箱地址的存活、探测邮件获取员工网络和软件信息、诱导员工泄露通讯录等信息。

通过对目标掌握的信息最终形成大致的目标画像：目标组织的网络情况、员工安全意识、业务交流渠道、员工信息等，掌握足够详细的信息将直接决定后续攻击的整体方向。如果攻击者对目标了解不足或方向错误，那么后续的步骤可能都将是白费力气。因此，信息收集阶段的深入与准确性对于成功进行网络钓鱼攻击至关重要。

网络钓鱼中的“话术”是整个攻击行动的关键，负责把鱼吸引过来。欺骗话术根据目的可以分成几大类：诱导输入密码凭据、诱导运行恶意木马、诱骗敏感信息，攻防演练中以诱导运行恶意木马居多。最常见的钓鱼话术包括：

1. 官方通知伪造：攻击者会冒充IT运维部门、人力资源部门或财务部门等，发送虚假的官方通知。这些通知可能涉及漏洞修复通告、异常操作告警、工资补贴发放、某种福利统计等。

   
   

2. 招聘渠道利用：攻击者会在招聘网站或社交媒体上冒充高价值的求职人员，或发布虚假的招聘信息，以吸引目标员工的注意。他们可能声称来自某个知名高校毕业，或拥有某个著名企业的工作经历，或是伪装成猎头利用高薪职位、升迁机会等激发目标员工的好奇心。

   
   

3. 冒充领导：攻击者冒充公司高层领导，通过电子邮件或即时消息的方式与目标接触，要求他们执行某些紧急任务或提供敏感信息，这种冒充行为旨在利用员工对上级命令的信任。

   
   

4. 冒充客户：攻击者利用目标公司的售后或者采购等联系渠道，提出一些紧急或重要的要求，从而引诱目标员工执行恶意操作。

攻击者通过技术手段将恶意木马伪装成正常文件，就像包裹在鱼饵中锋利的鱼钩，锋利无比却不漏锋芒，一次点击即让目标安全设备的层层防守功亏一篑。攻防演练中常见的木马伪装方式包括：

1. 文件图标伪装：攻击者将恶意可执行程序的图标伪装成PDF等文档的图标，同时通过修改文件名、添加长空格、使用双后缀或rlo反转等技术手段，使其看起来像是无害的文件，这种伪装方式可以其误以为打开的是普通文档而实际上运行了恶意代码。

   
   

2. 恶意捆绑文件：攻击者利用自解压等文件捆绑技术将恶意程序与正常的文件捆绑在一起。当用户打开这个文件时，捆绑程序会释放出并打开正常的文件，让用户误以为打开的是正常的文件。

   
   

3. 快捷方式利用：由于快捷方式具备图标和后缀名可以随意定制的特点，常被用来进行钓鱼攻击。攻击者可以将其伪装成常用的应用程序、文件或网站的快捷方式，诱使用户进行点击。当用户点击这些快捷方式时，恶意代码会被执行。

   
   

4. 恶意文档：由于文档类型的文件在办公中广泛使用，攻击者常将恶意代码或是恶意程序嵌入文档，搭配诱导性的文字来诱导用户触发恶意代码或程序。此外攻击者还会通过可执行恶意代码的文档类型进行钓鱼攻击，如chm等。

就像钓鱼分为：台钓、路亚……一样，网络钓鱼也会根据目标制定对应的攻击手法，常见的有：撒网式钓鱼、鱼叉式钓鱼、水坑攻击。撒网式钓鱼有点类似于台钓，在选好钓点和目标鱼后，打窝下杆等鱼咬钩，可以配合多个鱼竿、鱼钩。撒网式钓鱼往往会借助邮件、短信，来实现一种诱饵批量投递的效果，该种方式的优势式覆盖面广、效率高，如果防御不当有造成大面积中招的风险。

鱼叉式钓鱼更像路亚和飞钓，针对一种目标鱼定制逼真的诱饵，需要研究目标鱼的习性、主动去找鱼，配合特定的手法来诱鱼。攻击手有时会根据掌握的信息发送针对性的钓鱼邮件，例如：人员职位信息等；有时也会多种手段搭配使用，通过电话或者微信等社交软件与目标建立信任关系，然后投递定制的木马样本。

水坑攻击则与前两者不同，类似鳄鱼捕猎的方式，攻击者通过事先获取目标人员常访问的网站或公众号等的后台权限，然后在网站、公众号上布置好恶意代码，等待目标人员来访问。

针对不同的攻击手法需要不同的载荷投递方式，在进行网络钓鱼攻击时，攻击者最常使用的无疑是电子邮件。这是因为电子邮件的使用非常普遍，同时邮件本身也存在极大的安全风险。除了电子邮件之外，随着即时通讯工具的兴起，钓鱼攻击也开始向微信、脉脉、抖音等即时社交工具转移。在实施网络钓鱼攻击时，攻击者常常通过不同的组合投递方式来获取目标的信任或绕过邮件网关等安全设备的拦截。例如：在Boss直聘等软件上伪装成求职者，然后加微信传递伪装成简历的木马；伪装成客户拨打400电话要求技术人员安装VPN木马……

未知攻，焉知防。随着网络技术的不断更新迭代，恶意攻击者利用新兴的通信服务和技术，精心设计攻击策略、技术和程序（TTPs）。在企业安全体系能力建设中，我们需要及时跟进攻击技术的变化，而不仅仅关注传统安全领域如邮件网关、杀毒软件等。

在不断完善安全机制的同时，我们必须承认“人性的漏洞”是难以彻底修补的。在安全体系能力建设中，个人的安全意识水平同样重要。企业应充分意识到员工即是企业的边界，并注重培养员工的安全意识。尽管在网络空间中无法实现绝对安全，但我们可以通过不断接近绝对安全。

绿盟轻量化安全意识测评服务（InSAAS）