今年，某金融行業(yè)在一場(chǎng)內(nèi)部攻防演練中，紅隊(duì)通過多人角色扮演的社工釣魚策略突破防線。攻擊者偽裝成 “某大型公司 HR”，在脈脈等求職平臺(tái)鎖定目標(biāo)單位的運(yùn)維人員，以 “年薪百萬崗位” 為誘餌誘導(dǎo)其添加微信，并發(fā)送藏有后門的壓縮包。同時(shí)，他們還通過偽造的 “薪資調(diào)整通知”“安全漏洞補(bǔ)丁” 等郵件主題，利用員工對(duì)工作場(chǎng)景的信任，成功獲取內(nèi)網(wǎng)權(quán)限。

可以發(fā)現(xiàn)，社工釣魚的攻擊套路靈活，且效果顯著。對(duì)于攻擊者來說，與其絞盡腦汁突破內(nèi)網(wǎng)防線，不如轉(zhuǎn)為突破員工的防線，從而更加輕松地進(jìn)入內(nèi)網(wǎng)。雖然大部分安全從業(yè)者都了解社工釣魚可能會(huì)造成的不良結(jié)果，但想要對(duì)抗還是有很大的難度。原因在于：

01 利用人性弱點(diǎn)，突破心理防線

權(quán)威與緊急性：攻擊者常冒充 “系統(tǒng)管理員”“HR” 或 “高管”，以 “賬號(hào)異常需緊急驗(yàn)證”“薪資調(diào)整需確認(rèn)” 等話術(shù)制造緊迫感，誘使用戶無暇驗(yàn)證真實(shí)性。例如，某 IT 企業(yè)員工因收到 “異常登錄提醒” 郵件，在恐慌中點(diǎn)擊釣魚鏈接，導(dǎo)致賬號(hào)泄露。

信任錨點(diǎn)構(gòu)建：通過偽造社交媒體賬號(hào)、克隆語音或視頻（如 Deepfake 技術(shù)），攻擊者模擬熟人或可信機(jī)構(gòu)，降低用戶警惕。2024 年某歐洲企業(yè)因 CEO 視頻被偽造，財(cái)務(wù)人員按指令向 “供應(yīng)商” 轉(zhuǎn)賬，損失慘重。

利益誘惑：以 “領(lǐng)取福利”“抽獎(jiǎng)”“高薪職位” 為誘餌，利用人類趨利心理。例如，紅隊(duì)通過 “年薪百萬崗位” 吸引運(yùn)維人員，進(jìn)而植入木馬。

02 技術(shù)手段隱蔽，繞過傳統(tǒng)防御

偽裝與混淆：釣魚郵件常使用合法域名的變體（如 “paypal.com” 變?yōu)?“paypai.com”），或通過 HTTPS 加密、偽造證書增強(qiáng)可信度。SolarWinds 攻擊中，攻擊者還通過清除 LNK 文件元數(shù)據(jù)、偽裝 PDF 文件等手段規(guī)避溯源。

多階段攻擊鏈：從釣魚郵件投遞到后續(xù)橫向移動(dòng)，攻擊過程復(fù)雜且隱蔽。例如，攻擊者先通過釣魚獲取初始權(quán)限，再利用供應(yīng)鏈漏洞（如 Log4j2）擴(kuò)大滲透范圍。

移動(dòng)設(shè)備與新型載體：SMiShing 攻擊利用短信繞過郵件過濾，而偽造的移動(dòng)應(yīng)用（如假 Chrome）可長(zhǎng)期潛伏竊取數(shù)據(jù)。此外，攻擊者還通過微信、QQ 群等社交平臺(tái)發(fā)送偽裝成 “內(nèi)部文檔” 的惡意文件。

03 攻擊面擴(kuò)大，防御資源不對(duì)稱

遠(yuǎn)程辦公與移動(dòng)化：云計(jì)算和遠(yuǎn)程辦公導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界消失，終端設(shè)備（如手機(jī)、平板）成為新的攻擊入口。某金融行業(yè)因員工遠(yuǎn)程訪問需求開放互聯(lián)網(wǎng)權(quán)限，釣魚攻擊成功率顯著上升。

供應(yīng)鏈與第三方風(fēng)險(xiǎn)：攻擊者通過攻陷供應(yīng)商（如 SolarWinds）或利用開源組件漏洞，間接滲透目標(biāo)企業(yè)。此類攻擊難以通過單點(diǎn)防御攔截。

攻擊者專業(yè)化與資源優(yōu)勢(shì)：APT 組織和黑灰產(chǎn)團(tuán)隊(duì)投入大量資源研究漏洞、定制攻擊工具，而企業(yè)安全團(tuán)隊(duì)在資金、技術(shù)和人員上往往處于劣勢(shì)。例如，紅隊(duì)在攻防演練中使用 “超級(jí) 0day” 漏洞，普通企業(yè)難以應(yīng)對(duì)。

04 防御技術(shù)存在局限性

多因素認(rèn)證（MFA）的漏洞：雖然 MFA 能有效防止密碼泄露，但攻擊者可通過 “會(huì)話劫持” 或偽造受管理設(shè)備繞過部分機(jī)制。例如，微軟建議結(jié)合 FIDO2 安全密鑰等防釣魚方法，但用戶可能因操作繁瑣而棄用。

反釣魚工具的誤判與滯后性：傳統(tǒng)郵件過濾依賴特征庫，難以識(shí)別新型變體。深信服等廠商雖通過 AI 大模型實(shí)現(xiàn) 95% 以上的釣魚郵件檢出率，但攻擊者可通過快速更換簽名、混淆代碼繞過檢測(cè)。

用戶安全意識(shí)參差不齊：即使企業(yè)部署防御工具，員工仍可能因誤操作（如點(diǎn)擊可疑鏈接、下載附件）導(dǎo)致防線失效。某金融機(jī)構(gòu)在演練中發(fā)現(xiàn)，所有突破口均來自釣魚攻擊，反映出用戶培訓(xùn)的不足。

05 攻擊手段持續(xù)進(jìn)化，防御成本高

技術(shù)迭代快：從早期的郵件釣魚到如今的深度偽造、供應(yīng)鏈攻擊，攻擊手段不斷升級(jí)。例如，攻擊者利用 HTML Smuggling 技術(shù)在本地生成惡意文件，完全規(guī)避防火墻檢測(cè)。

防御復(fù)雜度增加：企業(yè)需同時(shí)應(yīng)對(duì)郵件、短信、社交媒體等多渠道攻擊，并平衡安全性與用戶體驗(yàn)。傳統(tǒng)雙終端隔離方案成本高昂，而零信任沙箱等新技術(shù)雖有效，但部署和維護(hù)難度較大。

對(duì)此，安在新媒體面向社群用戶，推出“網(wǎng)絡(luò)安全意識(shí)團(tuán)購服務(wù)”，涵蓋宣傳素材、培訓(xùn)課程、威脅體驗(yàn)、游戲互動(dòng)等，采用線上線下融合的方式，幫助員工掌握安全要點(diǎn)，并提供定制化安全策略咨詢。

針對(duì)社工釣魚攻擊，安在新媒體推出了8幅防社工海報(bào)。海報(bào)的圖文形式可以細(xì)致地展現(xiàn)出各類安全風(fēng)險(xiǎn)的危害，企業(yè)可將其以展板、易拉寶形式放置于辦公區(qū)域，持續(xù)性加深員工的安全意識(shí)。

更多防社工海報(bào)，關(guān)注【安在新媒體】聯(lián)系我們

部分展示，以作參考，更多服務(wù)，詳情請(qǐng)洽

Tina（諸子云群秘Tina）

獲取更多安全意識(shí)資料，加入諸子云，關(guān)注【知識(shí)星球】，持續(xù)更新

安在意識(shí)服務(wù)