借口攻击
本文约需 2 分钟阅读
伪装攻击 (pretexting) 是一种社会工程学手法,攻击者编造虚构的情景 (借口),以取得目标的信任,从而套取机密信息或访问权限。钓鱼主要以技术性伪装 (假网站、假邮件) 为武器,而伪装攻击则以建立人际关系和心理操纵为核心。攻击者扮演 IT 支持人员、人事部门、合作伙伴的销售代表等受信任的角色,诱导目标主动提供信息。
与钓鱼的区别
| 维度 | 伪装攻击 | 钓鱼 |
|---|---|---|
| 主要武器 | 建立人际关系、心理操纵 | 技术性伪装 (假网站、假邮件) |
| 接触方式 | 电话、当面、邮件 (多次往来) | 以邮件、短信为主 (单次) |
| 准备周期 | 长 (调查目标需数天至数周) | 短 (模板批量发送) |
| 目标数量 | 少数特定个人 | 范围广,从不特定多数到特定个人 |
| 成功率 | 高 (因建立了信任关系) | 低 (靠大量发送提高概率) |
典型情景
打电话称「为了进行安全更新,请让我确认一下您的密码」,从而套取认证信息。事先查清公司 IT 部门的名称和分机号码,以提高可信度。
联系员工称「随着薪资系统迁移,需要重新登记银行账户信息」,从而收集个人信息。通常配合年终调整或人事变动的时期实施。
联系会计人员称「发票的汇款账户已变更」。冒用真实合作伙伴的负责人姓名,并提及过去的交易内容来取得信任。
向财务人员指示「绝密的并购案件需要紧急汇款」。专挑 CEO 或 CFO 出差期间,趁难以直接核实的时机实施。
伪装攻击的流程
统计数据 - 不断增加的伪装攻击
根据 Verizon 的 DBIR (Data Breach Investigations Report,数据泄露调查报告),在社会工程学攻击中,伪装攻击正在迅速增加。在 2023 年版 DBIR 中,约 50% 的社会工程学事件被归类为伪装攻击,比例几乎与钓鱼持平。尤其是许多商业邮件诈骗 (BEC) 都采用伪装攻击的手法,随着 BEC 损失金额的增加,伪装攻击的威胁也在扩大。
防御措施
当通过电话或邮件被要求提供机密信息时,回拨事先登记的联系方式以确认身份。不要拨打对方声称的号码。
收到转账指示或变更账户的请求时,通过其他通信方式 (公司内部聊天、当面) 向请求人本人确认。
通过定期培训让员工了解伪装攻击的手法。模拟真实情景的演练效果显著。
将在社交媒体和企业网站上公开的组织结构图、负责人姓名、分机号码等信息控制在必要的最低限度。
常见误解
「我才不会上当」这种自信,恰恰是伪装攻击最大的帮凶。攻击者巧妙地操纵目标的心理,利用「想帮忙」「必须服从上司指示」等自然的情感。即便是安全意识很高的人,在精心设计的情景面前,判断力也可能变得迟钝。
伪装攻击常与语音钓鱼 (电话诈骗) 和鲸钓组合使用,横向理解这些手法是防御的关键。社会工程学实务书 (Amazon)推荐借此学习攻击者的心理操纵技巧。也请一并参考社会工程学防御、真实的社会工程学案例和内部威胁对策。
这篇文章对您有帮助吗?