从Kevin Mitnick的传奇骗局到当今由AI驱动的威胁，网络犯罪分子一路走来，不断进化战术。近年来，社交攻击变得更加战略化和精准化。

攻击者不再单纯追求从尽可能多的人身上骗取小额资金，而是主要瞄准企业内部具有广泛权限的关键人员，这类目标通常拥有较高的网络访问权限、可使用远程工具和敏感数据，或者具备执行大额金融交易的能力。

AI驱动的犯罪“情报”

AI的崛起也渗透到社交攻击之中，攻击者会构造虚假的身份和场景，让受害者基于错误的假设而“不得不”服从其指令。网络犯罪分子常冒充合作伙伴、客户或高层管理人员来诱骗受害者，例如要求其转账。

近期，一家大型资产管理公司就遭遇了类似攻击。调查发现，攻击者事先做了大量调研，专门锁定了财务部门的一名高管。

攻击流程是这样的：首先发来一份看似来自DocuSign的虚假保密协议(NDA)，冒充该公司现有合作伙伴。经理签署文件后，被要求拨打邮件中的联系电话，但无人接听。第二天，他收到了所谓“合作伙伴”和其CEO的回电。在会议电话中，“CEO”确认了NDA的真实性，并称需要支付一笔定金才能开始项目。结果，这名财务负责人转账了100万欧元。

调查显示，真正的CEO从未参与过通话。攻击者利用AI克隆了CEO的声音，从而操纵了受害者的判断。

钓鱼邮件“雨点般落下”

与其他网络攻击不同，社交攻击并不依赖利用代码或网络架构的漏洞，而是利用人类行为——而人在安全链条中往往是最薄弱的一环。尤其是在繁忙压力下，人更容易上当。

例如，战略性社交攻击攻击往往分两步：

步骤1：制造问题

攻击者人为制造技术问题来增强其骗局的可信度。常见方式是邮件轰炸或“灰色邮件”泛滥——攻击者用受害者的邮箱注册大量服务，导致其收到成千上万封合法邮件。某个案例中，一名受害者在不到两小时内收到了3000封邮件。

步骤2：自称“救星”

随后，冒充“服务台经理”的人会打电话来“帮忙解决问题”，以便受害者能够继续工作。攻击者往往趁机套取登录凭证，或通过电话诱导受害者授予桌面访问权限。在所谓的“紧急情况”中，这一伎俩屡屡成功。

虚假的“团队协作”

近年来，复杂的语音钓鱼攻击也显著增多。例如，黑客组织Black Basta会利用合法的Microsoft Teams登录信息来博取信任，通过“Helpdesk”“Support Team”或“Helpdesk Manager”的身份发起Teams通话。

攻击者冒充企业内部IT人员，引导受害者使用 Windows 内置的“Quick Assist”应用。由于这是合法工具且不会触发安全警告，其行为更具迷惑性。随后，他们会诱导受害者输入组合键“Ctrl + Windows键 + Q”来生成远程访问码。

这样，攻击者即可远程接管受害者电脑，并进一步提升权限，在系统间横向移动。在某个案例中，短短几天内，攻击者就从整个环境中窃取了数TB数据。

安全管理者能做什么

要让员工完全避免落入复杂的社交攻击陷阱，难度极大。但通过技术与人员管理结合，仍能降低成功攻击的可能性：

• 限制通信范围：Teams和Zoom都提供仅允许与受信任域名或组织通信的选项。虽然实施和维护需要时间，但这是非常有效的措施。

• 控制远程访问：一些攻击者利用视频会议应用自带的远程功能。Zoom和Teams均可设置是否允许外部参与者在通话中远程访问屏幕。企业应根据自身需求仔细审查这些功能并合理配置。

• 实施条件式访问：条件访问是强化访问控制的关键，其本质是“如果…那么…”的逻辑。例如：如果用户想访问某个资源，就必须进行某个操作;如果要使用Microsoft 365，就必须完成多因素认证。安全团队可根据地理位置、用户类型、应用或令牌保护策略来限制访问。

归根结底，所有安全措施的目标都是降低爆炸半径，即减少单个被攻陷账户可能造成的潜在损害。无论攻击者如何行事，最终目标几乎都指向企业的敏感数据。因此，员工保护与安全意识建设必须从这一点切入。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。