引言
随着COVID-19疫情的蔓延,远程办公成为了许多公司的新常态。然而,这种转变也带来了网络安全的新挑战,尤其是钓鱼攻击的增加。本文将探讨一种新兴的网络犯罪手法——语音钓鱼攻击(vishing),以及其对员工和企业的潜在威胁。
语音钓鱼攻击的崛起
什么是语音钓鱼攻击?
语音钓鱼攻击是一种结合了电话社交工程和定制钓鱼网站的攻击手法,攻击者通过电话诱骗员工泄露虚拟私人网络(VPN)凭证。根据纽约网络调查公司Unit 221B的首席研究官Allison Nixon的说法,这种攻击形式由于远程办公的普及而变得格外有效。
目标:新员工
攻击的实施步骤
攻击通常从针对特定组织的远程员工开始电话联系。攻击者冒充公司的IT部门,声称要帮助解决VPN技术问题。他们的目标是诱使员工在电话中透露凭证,或引导他们访问一个模仿公司官方网站的钓鱼网站。
Zack Allen是ZeroFOX公司的威胁情报总监,他表示,攻击者通常会专注于钓鱼新员工,甚至伪装成公司的新员工,以增强可信度。
钓鱼手法的多样性
如何识别钓鱼攻击
攻击者使用的钓鱼网站域名往往包含公司的名称,前后可能附加“vpn”、“ticket”、“employee”或“portal”等词汇。为了增强可信度,钓鱼网站上可能还会包含指向公司其他内部资源的有效链接。
Allen指出,语音钓鱼攻击通常涉及至少两名攻击者,一个负责社交工程,另一个则实时使用获取的凭证登录目标公司的VPN平台。
时间紧迫性
多因素认证的挑战
许多依赖VPN的公司还要求员工提供多因素认证(MFA),例如通过移动应用或短信生成的一次性验证码。这使得攻击者必须迅速行动,因为这些验证码通常只能在短时间内使用。
反复试探的策略
攻击者的策略
即使第一次尝试失败,攻击者也不会气馁。他们会继续尝试联系其他员工,逐步获取公司内部运作的细节,以便优化下一次的攻击。
Nixon表示:“这些攻击者反复拨打电话,试图了解公司的内部运作。”这种信息收集为他们提供了进一步攻击的机会。
域名注册的秘密
域名注册的策略
安全研究人员发现,这个钓鱼团伙在少数接受比特币的域名注册商那里伪名注册域名,并且每个注册商账户通常只创建一个域名。这种策略使得他们在一个域名被封禁后,仍能保留其他域名的使用。
钓鱼攻击的目标
获取内部公司工具的目的
这些攻击的最终目标是尽可能多地获取内部公司工具的访问权限,以控制可以迅速变现的数字资产,包括社交媒体账户和银行账户等。
Nixon指出,攻击者通常来自一个社交工程经验丰富的年轻男性群体,他们通过多年的学习掌握了如何诱导员工泄露内部工具的技巧。
结论
保护员工和公司安全的重要性
随着网络攻击手法的不断演变,企业需要重视员工的安全意识培训,以防止此类语音钓鱼攻击的发生。加强对VPN和其他敏感信息的保护措施,能有效降低企业面临的安全风险。
强烈建议使用VPN产品以保护您的在线活动。
