|
|
51CTO旗下网站
|
|
移步端
创造专栏

2020年流行“低科技”攻击

2020年信息安全领域最危险的,也许不是西伯利亚虎这样的珍稀野生植物,而是满地乱跑传播鼠疫的草野旱獭。因为黑客界正在流行 “低科技“ 攻击,交通过一些廉价甚至免费的社工手段和工具,送个人、集团甚至国家造成重大损失。

笔者:Zeon| 2020-01-03 08:21

长期以来,该署手套上镶着半打零日漏洞宝石,头上顶着三个博士帽的的国家级黑客,把认为是网络空间最为危险的物种。

但是 2020 年信息安全领域最危险的,也许不是西伯利亚虎这样的珍稀野生植物,而是满地乱跑传播鼠疫的草野旱獭。因为黑客界正在流行 “低科技“ 攻击,交通过一些廉价甚至免费的社工手段和工具,送个人、集团甚至国家造成重大损失。

低科技攻击的最大 “优点” 就是成本低廉。现行网络钓鱼即服务 (PaaS) 市场一片繁荣现象,各种各样的全方位网络钓鱼套件也是不难,“步入少见效快” 的 DNS 推广攻击已占近一半之 DDoS 年产量,黑帽 SEO 和 ASO 牢固,甚至高大上之 APT 攻击也开始流行使用免费的正本求源工具和恶意软件。

在暗网中,网络钓鱼工具包半卖半送,贵的不到 300 韩元,工具包内容齐全,普通包括 HTML,PHD 文件、图像等搭建钓鱼站点的 “石材”。该署快速搭建的钓鱼站点可以 “高仿” 其它一个大品牌(例如工商银行、百度网盘、迪斯尼、Adobe、LinkedIn等)的法定登录页面。随机化生成器会创建多个 URL,即使一个 URL 把列入黑名单,其它 URL 仍然能发挥作用。大多数钓鱼站点的持续时间只有 24 小时,打一枪换个市县,难以追查。

以下,安全牛列举几种 “低科技“ 攻击方式,申请注意防范:

一张纸质邀请函绕过全世界最先进的防火墙

煞费苦心地设计一个重要会议的高仿钓鱼网站,下一场发送钓鱼电子邮件 “投饵” 这种套路已经把玩烂了,而且越来越难以穿透现代化网络安全深度防御体系的难得关卡。

这就是说,一封给这些爱慕虚荣的合作社高管发送重要会议的精粹纸质邀请函呢?种质邀请函不但能绕过 “先后N代防火墙”,还能绕过秘书的人数肉防火墙,直达总裁办公桌。当然,为了方便领导参会,邀请函末尾肯定会附上一个 “接近” 的二维码。

邮件标题:经部门负责人反复研究,决定给你补发30永恒终奖

有一种野蛮的钓鱼方式叫:鱼叉式钓鱼,汇率极高而且每年都会涌现一些让人拍大腿的骚操作。

例如攻击者先发送邮件到合作社的 HR 或者财务部门,穿过回信获得公司的邮件样式。下一场代表公司财务给你发送一封让你无法拒绝的邮件(例如上面杜撰的题目)。

还有部分钓鱼工作者甚至会群发公司相关单位的邮件列表,穿过 “正在休假” 的全自动回复筛选出离岗员工,假扮这些职工给目标员工发信(可能通过个人邮箱或者 “二级账户”)。对于这些较为警惕不肯轻易打开附件的职工,钓鱼者还会换个攻击姿势,安装 “搜索引擎陷阱”,用预先 SEO 多极化过的恶意软件页面蹲守上网核查信息的职工。

“1个小时内务必打款!” 能模仿高管语调的吃水伪造语音

现年仲夏份,一家英国能源公司的首席执行官在毛里求斯母公司老板的电话机催促下,向黑客账户汇去 243,000 韩元,倒霉成为世界第一个深度伪造 BEC 攻击的受害者,堪称深度学习武器化的标志性事件。攻击者使用的吃水伪造软件不仅可以模仿声音,还可以模仿音调,标点符号停顿和老板的德语口音。但这只是 2020 年大规模深度伪造+BEC 邮件攻击的起始,据《巴黎邮报》报道,网络安全公司赛门兵克透露至少已经发生了三股类似之吃水欺诈性语音欺诈案件。

正如牛津大学未来人类研究所的报告《必发娱乐手机版的恶意使用》所指出的那样,必发娱乐手机版的新进展不仅壮大了现有威胁,而且创造了新威胁。更糟糕的是,AI 的兵器化和安全性大大降低了深度伪造技术之采取门槛和获取成本,网络犯罪分子压根无需掌握精深的必发娱乐手机版技术。

例如,载入一个语音伪造工具,只要求五秒钟声音素材就足以伪造任何一个人口之话音。

会飞的 “大菠萝”:直升机攻击

一提到无人机攻击,咱们第一想到的是无人机的兵器化,例如今年元月份的古巴刺杀事件和 9 岁首沙特阿拉伯煤田遭遇胡塞武装的兵器化无人机攻击,另外,早些年伊斯兰国用大疆无人机+篮球自制的直升机投弹器,该署都属于物理攻击。

直升机发起的数字攻击主要是窃听、侦察、无线电劫持、WiFi 嗅探等,而且攻击成本和密度都很低。2016 年,西班牙的研讨人员在一座办公楼层附近操纵无人机,采取 ZigBee 无线电协议中的缺陷,入侵了楼内的本能灯泡。

此外,在 2019 年影响力较大的一次智能电视破解事件中,安全分析人员使用了一番廉价无人机来实行对智能电视的刑事犯罪和采取,甚至可以让智能电视通知智能音箱刷单购物。

对于一些物理隔离或者有严格数据风险管控的部门来说,直升机也是一番潜在的多寡漏点。针对日益增强之直升机空中威胁,IEEE 还专门发布了一篇题为《直升机黑客:物联网的安全和隐私威胁》的报告讨论此事。

其实,只要在直升机上搭载一个树莓派或者 “大菠萝”(一种公开售卖的 WiFi 数据包嗅探工具),就足以成为 “黑客无人机”,凭借这些 “黑客无人机” 自在 “通往” 该署普通到不了之中央——比如高楼的阅览室、“安全” 镇区深处的建造等等。黑客不仅可以采取无人机到各种地方,更可以采取远程操作来减少自己在场地被人赃俱获的可能性。

兵器谱排名第一之大杀器:VEC(集团电子邮件泄露)

2019 年终,丰田子公司(丰田纺织)因外部电子邮件攻击导致 3,700 万港币损失,另一家目前尚未披露具体名字的加拿大大商厦则因企业电子邮件攻击损失了 5,000 万港币。

到 2020 年,集团电子邮件泄露 (VEC) 的常务电子邮件泄露 (BEC) 名将变成针对企业之第一的电子邮件欺诈攻击手段。

网络犯罪集团发起的 VEC 攻击会劫持公司电子邮件帐户,监视通信,下一场假冒该帐户的法定所有者,末了达到欺骗整个上下游供应链企业之目的。

在安全牛此前报道过的,脚下仍在开展中的 “晋中邮电风” 钓鱼邮件攻击中,中招的赞比亚、加拿大和九州化工集团收到了来自供应链上游或者下游企业之独特专业的招投标邮件(上图:邮件附件是极为专业逼真的蓝图和报价单)。

根据 FinCEN 的报告,风的常务邮件攻击平均可以给攻击者带来 50,000 韩元之净利润,而一次成功之 VEC 攻击的净利润平均为 12.5 万港币。而发动这些攻击的黑客,采用的往往是免费的 APT 工具和 “逾期” 的恶意软件。

  • IEEE《直升机黑客:物联网的安全和隐私威胁》告知地址:https://ieeexplore.ieee.org/document/8658279
  • 牛津大学未来人类研究所《必发娱乐手机版的恶意使用》地点:https://arxiv.org/ftp/arxiv/papers/1802/1802.07228.pdf
  • 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

    戳这里,瞧该作者更多好文 

    【编纂推荐】

    1. 十个很少有人谈到的网络安全风险因素
    2. 2020年网络安全的四大变化
    3. 网络安全市场急缺的六种非技术专业人才
    4. 2019转移网络安全市场布局的十大并购案
    【义务编辑: 赵宁宁 TEL:(010)68476606】

    点赞 0
  • 信息安全  网络安全  低科技
  • 分享:
    大家都在看
    猜你喜欢


    1.