低技术攻击手段仍然是网络威胁的主要成因

国外安全专家指出，网络犯罪分子正在采用低技术手段突破安全防御，因为这些手段往往能逃避检测。比如基于USB的攻击、钓鱼邮件中的二维码，以及借助生成式AI改进的社会工程学等，都是利用低技术手段而发起的网络攻击。

最新的Verizon数据泄露调查报告（DBIR）也证实了这点。报告指出，经过验证的攻击战术仍然成功，因此组织必须保持对传统攻击的警惕。

USB驱动攻击呈上升趋势

近期，基于USB的攻击重新引起了人们的关注，只要带有恶意软件的物理USB驱动器被连接到了公司系统，病毒就能渗透其中。这种攻击手段最常依赖于社会工程学，不法分子常会诱使公司终端用户将受感染的驱动器插入公司电脑。近年来，不法分子甚至会到处派送免费内置USB驱动器的玩具（如泰迪熊）。

CheckPoint在今年早些时候指出，国家层面的威胁行动者也在部署装有恶意软件的USB。比如变种Raspberry Robin蠕虫，其非常适合这种攻击。Blackpoint Cyber的威胁情报主管Nick Hyatt表示：“由于生成式AI的流行，大众的关注点都聚焦在了新技术，因此我们往往会忽略这些低技术手段。”

Hyatt的团队最近发现了一个用于安装Raspberry Robin恶意软件的USB驱动器。该恶意软件作为后续攻击的发射台，其能使不良行为者完成三个关键要素：建立存在、保持访问和启用横向移动。“因为其具备加载程序功能，所以可以设置成下载Cobalt Strike信标以建立持久性，这能使攻击者获得初步访问并开始将其构建到环境中。”

在其他领域，Hyatt看到了与网络广告相关的威胁，这些威胁可以被广泛部署。有些浏览器不具备广告拦截的功能，因此部分用户可能会点击其上的广告，而这些广告往往就是恶意软件，它们会自动将恶意程序下载至用户的设备。

容易被利用的二维码

根据Rapid7物联网首席安全研究员Deral Heiland的说法，基于二维码的攻击依旧值得关注。随着疫情的再次出现，二维码又出现在了多种场合，如货运、Wi-Fi信息、验证在线账户和传输支付信息等。根据行业报告，通过二维码进行的网络钓鱼攻击（也称为quishing）正在上升，不法分子会利用公共场所的二维码进行恶意攻击。

Heiland表示，即使是很常见的情况，如生成二维码以配置用于Office 365双重身份验证的Microsoft Authenticator应用程序，其也存在被利用的风险。“大多数人都知晓不要随便点击链接，但对于二维码，他们会放松警惕。”

二维码的危险在于，其可配置成在设备上启动任一应用程序，比如下载文件、打开浏览器等，而用户可能完全不知道它将执行什么操作。此外，二维码的主要载体是移动设备，而这些设备往往没有相应的保护措施，因此这就使得不良行为者很容易就能通过二维码来进行恶意攻击。

对组织安全负责人来说，更令人担忧的是针对高管的二维码攻击。根据Abnormal最新的电子邮件威胁报告数据，高管收到恶意quishing攻击的可能性是普通人的42倍。Heiland表示：“我们需要训练人们在使用二维码时不要点击其他内容，同时还要检查链接或文本中是否存在拼写错误。”

利用AI增强社会工程学

GoDaddy和MGM Resorts等重大事件告诉了我们，基于社会工程学的假冒电话依旧是不法分子的主要攻击手段。这表明，通过生成式AI工具，网络犯罪分子可以绕过双重身份验证等保护措施。

Outfoxm公司首席执行官兼创始人Maria-Kristina Hayden介绍，在MGM攻击中，攻击者以1亿美元为诱惑设计骗局，成功诱骗相关人员重置了用户的多因素身份验证，因此获得了用户的访问权限，并从中盗取了个人资料和信息。“如此看来，网络犯罪分子几乎不需要多少技术知识就能完成攻击。所以，我们需要继续提高对低技术攻击手段的认知。”

Hayden表示，犯罪分子正以居家办公的人员为目标，他们试图利用这些人员的个人信息来访问公司的账户和网络，这种威胁通常会针对组织的高管和领导。“组织在安全意识方面有着明显提高，所以大多数人在工作环境中是警惕的，但在家里，他们可能会放松下来，而犯罪分子正是利用了这一点，他们会瞄准居家办公人员的Gmail和Facebook账户。”

此外，软件开发人员、人力资源人员、技术支持人员、支付和财务部门、行政助理，以及面向客户的员工，这些角色同样被网络犯罪分子放在了首要目标，因为他们中的大多数人能访问公司的网络和系统。Hayden说：“我们不应该只关注高级别或关键职位的人员，同时还应该为其他员工提供资源，以让他们更好地保护自己。”

责任编辑：石旭