长期以来,那些手套上有六颗零日漏洞宝石,头上戴着三顶博士帽的国家级黑客,被认为是最危险的物种在网络空间。但2020年信息安全领域最危险的可能不是东北虎这样的稀有野生动物,而是四处奔波传播瘟疫的草原土拨鼠。由于“低技术”攻击在黑客界大行其道,通过一些廉价甚至免费的社会工程手段和工具,给个人、企业乃至国家造成重大损失。低技术攻击的最大“优势”是便宜。如今,网络钓鱼即服务(PaaS)市场蓬勃发展,各种完整的网络钓鱼工具包随处可见。“投资少、见效快”的DNS放大攻击已经占据了DDoS流??量的近一半。黑帽SEO和ASO继续繁荣。使用免费和开源工具和恶意软件,即使是复杂的APT攻击也变得流行起来。在暗网上,钓鱼工具包一半卖一半免费,贵的不到300美元。这些工具包是完整的,通常包括HTML、PHD文件、图像和其他用于构建网络钓鱼站点的“构建材料”。这些快速建立的钓鱼网站可以“高度模仿”任何大品牌(如工商银行、百度网盘、微软、Adobe、LinkedIn等)的合法登录页面。随机化器创建多个URL,即使一个URL被列入黑名单,其他URL仍然有效。绝大多数钓鱼网站的存在时间都只有24小时,被枪改后很难追查。下面,安全牛列举了几种“低技术含量”的攻击方式,并提请注意防范:一封纸质邀请函绕过全球最先进的防火墙,为一次重要会议煞费苦心地设计了一个高仿钓鱼网站,然后发送了一封“钓鱼邮件”“诱饵”套路玩坏了,越来越难以穿透现代网络安全纵深防御体系,那么,一封精美的纸质重要会议邀请函,发给那些名利双收的高管?纸质邀请函不仅可以绕过“N代防火墙”,还可以绕过秘书的人性防火墙,直达总裁办公桌。当然,为了方便领导参与,一个“贴心的”"邀请函末尾肯定会附上二维码。邮件标题:经部门领导反复研究,决定给你补发30万年终奖。有一种野蛮的钓鱼方法叫做鱼叉式钓鱼。例如,攻击者首先向公司的HR或财务部门发送邮件,通过回复获取公司的邮件样式。然后给你发一封你无法拒绝的代表公司财务的邮件(比如上面虚构的主题)。还有一些钓鱼人员甚至群发公司相关部门的邮件列表,通过自动回复“休假中”筛选掉下班的员工,并冒充这些员工向目标发送信件员工(可能通过个人邮箱或“二级账户”)。对于警惕性较高、不愿轻易打开附件的员工,钓鱼者也会变换攻击姿势,设置“搜索引擎陷阱”,利用预SEO优化的恶意页面来防范上网核实信息的员工。“必须在1小时内付款!”可以模仿高管语气的深度伪造声音成为全球首个深度伪造BEC攻击的受害者,是深度学习武器化的标志性事件。攻击者使用的deepfake软件不仅模仿声音,还模仿音调、标点符号停顿和老板的德国口音。但这只是2020年大规模深度造假+BEC邮件攻击的开始。据《华盛顿邮报》报道,网络安全公司赛门铁克透露,至少发生过3起类似的深度造假语音诈骗案。正如牛津大学人类未来研究所的报告《人工智能的恶意使用》所指出的,人工智能的新进展不仅放大了现有的威胁,而且还创造了新的威胁。更糟糕的是,人工智能的武器化和民主化大大降低了深度造假技术的进入门槛和获取成本,网络犯罪分子根本不需要掌握高精尖的人工智能技术。例如,下载一个语音伪造工具,只需要五秒钟的声音材料就可以伪造任何人的声音。会飞的“大菠萝”:无人机袭击说到无人机袭击,我们首先想到的就是无人机的武器化,比如今年1月在也门的暗杀事件和9月胡塞武装在沙特阿拉伯油田的袭击事件。另外,伊斯兰国早年使用的大疆无人机+羽毛球自制无人机轰炸机,都是物理攻击。无人机发起的数字攻击主要是窃听、侦察、无线电劫持、WiFi嗅探等,攻击成本和难度都很低。2016年,以色列的研究人员在一栋办公楼附近驾驶无人机,利用ZigBee无线电协议中的一个漏洞侵入大楼的智能灯泡。此外,在2019年影响较大的智能电视破解事件中,安全分析师使用廉价无人机劫持和利用智能电视,甚至让智能电视通知智能音箱刷单购物。对于一些物理隔离或数据风控严格的机构,无人机也是潜在的数据泄露点。针对无人机在空中日益增长的威胁,IEEE也发布了一份题为《无人机黑客:物联网的安全和隐私威胁》的报告来讨论此事。事实上,无人机只要装上树莓派或“大菠萝”(一种公开的WiFi数据包嗅探工具),就可以成为“黑客无人机”。在这些“黑客无人机”的帮助下,轻松“前往”一般人难以到达的地方——比如高层建筑的会议室、“安全”校园的建筑物深处等等。黑客不仅可以利用无人机去到各个地方,还可以通过远程操作来降低当场被盗的可能性。武器谱中的头号杀手:VEC(企业邮件泄露)2019年底,丰田子公司(丰田纺织)因外部邮件攻击损失3700万美元。另一家尚未透露其名称的美国大公司因商业电子邮件攻击损失了5000万美元。到2020年,商业电子邮件入侵(VEC)中的商业电子邮件入侵(BEC)将成为针对企业的主要电子邮件欺诈攻击媒介。网络犯罪集团发起的VEC攻击会劫持公司电子邮件帐户、监控通信,然后冒充帐户的合法所有者,最终对整个供应链中的企业进行欺诈。在平安牛报道的“江南工业风”钓鱼邮件攻击事件中,涉案的韩国、日本和中国的化工企业收到了来自供应链上游或下游企业的非常专业的投标邮件(上图:邮件附件为非常专业和逼真的设计图纸和报价)。根据FinCEN的一份报告,传统的商业电子邮件攻击平均可以让攻击者净赚50,000美元,而成功的VEC攻击平均可以净赚125,000美元。进行这些攻击的黑客通常使用免费的APT工具和“过时的”恶意软件。IEEE报告地址:https://ieeexplore.ieee.org/document/8658279牛津大学未来人类研究所《人工智能的恶意使用》地址:https://arxiv.org/ftp/arxiv/papers/1802/1802.07228.pdf【本文为专栏作者“李少鹏”原创文章,转载请通过暗牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多本作者好文
