目錄
前言
我們時常聽到的網路釣魚 (Phishing) 除了有著技術性細節,同時也有社會操控的因素包含在內,專業的組織會將其考慮為一項策略,並且精確的針對目標進行網路犯罪攻擊
通常我們會將網路釣魚攻擊分成兩類:
- 普遍性網路釣魚 (大規模的攻擊)
- 魚叉式網路釣魚 (目標導向的攻擊)
而我們更常見的網路釣魚信件則是一次針對許多目標設計通用的信件內容,相較之下,攻擊者使用魚叉式攻擊時,需要先針對單一的目標有深刻的理解,再客製化獨特的內容,包括像是目標平時的行為、偏好以及可能的漏洞,才有辦法決定要在訊息裡呈現何種內容
可以說,掌握這些資訊後,才有辦法建立受害者可能會相信的資訊內容,以及受害者可能會上當的藉口,而到了這個時代,攻擊者更可以利用生成式AI來優化社交工程的策略,利用像是大型語言模型 (Large Language Model, LLM) 來處理巨量的目標公開資訊,試圖找出潛在可以試探的目標
如此一來,目前的攻擊者可以讓原本在社交工程最耗費時間的地方,優化到線性時間就可以處理完,並且找出過去隱性的目標來客製化攻擊手法
更甚者,目前也有許多生成式影音模型被拿來嘗試利用,最常見就是詐騙行業的進步,攻擊者利用 deepfake 等技術複製受害者的聲音以及影像模型,嘗試偽造出目標的臉部表情、動作以及聲音的模板,機器學習/深度學習/強化學習助長了網路犯罪 (Cybercriminals) 更難以偵測
網路釣魚 101
通常攻擊者使用網路釣魚技術時有不同的目標,諸如像是:對目標執行惡意程式、竊取使用者登入資訊等等,不同的目標會決定組織要採取哪些策略
一旦攻擊者決定好目的,同時也會決定好採用哪種通訊方法,電子郵件是最傳統以及最常見的網路釣魚媒介,不過簡訊釣魚 (SMS Phishing, Smishing)、語音釣魚 (Voice Phishing, Vishing) 以及 Deepfake 強化型釣魚也漸漸出現更多了,有時候,針對目標的多樣性,還會將這些方法組合起來
電子郵件釣魚
為了更好的理解網路釣魚信件背後的策略與技術,我們先介紹信件釣魚 (Email Phishing),電子郵件的內容通常是為了特定的目標所建構的,通常是為了讓目標上當來執行攻擊者準備好的程式,例如攻擊者可能在信件裡附上惡意檔案並且說服受害者點開,就可以觸發特定的 payload
而這份惡意檔案可以是數種格式,像是 Microsoft Office 檔案、PDF、7zip/zip 壓縮檔、捷徑檔案甚至是日曆邀請連結,攻擊者可能嵌入連結讓目標機器可以連到滿是漏洞的網站上,可能會啟動特定的瀏覽器來執行漏洞,為了讓目標的機器上可以執行攻擊者的惡意程式
另外,電子郵件內容有可能是針對受害者常連線的網站,因為這類網站含有 SSO 等資訊,一旦使用者點擊惡意連結後,攻擊者就有辦法取得受害者的登入資訊
在網路釣魚裡,攻擊者常常會編造一個假的故事來嘗試誘騙目標點開惡意連結或檔案,每個成功的攻擊都仰賴於真假參半的故事,如果不仔細注意,很容易就會上當,而只要稍微注意一下,小錯字、錯誤的語法以及格式的錯誤都有可能讓整場騙局付諸流水
所以整個故事必須編的可信並且跟目標最近發生的事情有關聯,才不會讓目標起任何疑惑,想要避免一些小問題,攻擊者要非常了解目標的語言,才能讓社交工程的過程更加穩定,以及透過研究後深入了解目標的資訊,加入一些真實元素在信件裡,才是增加受害者可信度的關鍵
除了這些資訊外,要產生可信的故事還必須多一些手續,例如要讓信件來自於收信者看過或熟悉的來源,可以想像,如果我今天收到一個來自沒看過的網域寄的信,我可能連開都懶得打開,所以針對這點,攻擊者通常會去購買跟目標組織很相似的網域名稱來建立電子信箱,可能像是合作過的廠商或者其他看過的公司
根據這些條件,如果攻擊者從目標組織裡取得了一個合法的電子郵件,或是目標很久以前的其中一個電子信箱(可能是透過暗網上被破解的信箱購買來的,或者是用公開資訊拼湊起來成功登入的,畢竟早期的密碼意識應該很低),利用這些信箱可以讓攻擊機會大幅上升
總之既然都要偽造出一個故事了,自然是符合目標的預期越容易成功,像是目標組織的 HR 部門寄來的信,攻擊者就該模仿 HR 部門人員寫信時的習慣(我如果看到 HR 部門寄來的信件肯定把手上所有事情放上馬上點開),所以取得目標部門以及職位在事前探查時就應該查清楚,然後遵照目標組織的準則行動
另外 Whaling 攻擊,這種針對高價值目標的網路釣魚也很常見到,這類的目標比起一般的釣魚信件,需要注意更多的細節,要能騙到高階主管,勢必需要特別客製化內容,以及對於目標有更深刻的認知
針對一個組織進行網路釣魚活動時,我們時常也會接收到預期外的電子信箱清單,通常這種清單裡會包含高價值的目標
另外也有一種在後疫情時代很常見的方法被網路釣魚攻擊拿來搭配,我們現在非常習慣在電子信箱裡收到來自 Slack、Zoom、Google Gmail 或者微軟 Teams 的邀請連結,都是為了連接到對應的軟體裡做授權,而後,有些人稱這種手法為複製網路釣魚 (Clone Phishing),尤其在大規模的網路釣魚行動裡這種方法非常好用
總結來看,電子郵件網路釣魚攻擊始於對目標有著廣泛的研究,並且有確切想要達成的目標,根據這些集合,攻擊者就會開始思考要偽造哪種故事來完成,執行在網路釣魚活動中,合成過往所研究過的所有線索跟內容,配置進技術成面的釣魚手法
簡訊釣魚
除了傳統的電子郵件網路釣魚手法之外,攻擊者的手法也與日俱增,像是透過 SMS 簡訊技術或其他種行動通訊平台針對目標進行釣魚的方法 Smishing (結合 SMS 跟 Phishing)
比起電子信件,簡訊屬於更私人且直接的通訊管道,不過簡訊釣魚攻擊的效果取決於目標的習慣,舉例來說,如果是要寄到目標的工作用手機裡,那簡訊內容應該要跟工作有關,反之,如果是寄到私人手機裡,應該要有關特定朋友或家人的資訊在裡頭可以讓目標做驗證參考
另外,由於目標的聯絡清單裡並不會存在攻擊者的電話來源,使得攻擊者必須多加上一些藉口讓目標放下戒心,這些在簡訊釣魚時都必須考慮進來
舉個例子,以前著名的”CEO 禮物卡詐騙”的事件,攻擊者假扮成高階主管想要送禮物卡給員工(這麼好的事怎麼可能輪到底層社畜🤨),但還真的有些人相信簡訊內容是自家公司主管層策劃的
語音釣魚
另一項網路釣魚的側略則是語音網路釣魚 (Voice Phishing),有時被稱作 Vishing,攻擊者會直接撥電話給目標的手機,並且直接與他們交談,傳統的語音釣魚仰賴於社交工程的技巧,而非技術性技巧
同時,還可以在簡訊釣魚跟語音釣魚裡利用一項叫做來電 ID 誘騙的手法,變更寄送者或撥話方的來源號碼,尤其我們從 3G 進入網路介面語音 (Voice over Internet Protocol, VoIP)的時代後,這樣的方法越來越普及
在近代,還漸漸發展出一種社交工程攻擊稱作 “SIM 互換 (SIM swapping)”,攻擊者向行動網路供應商聯絡,且證明自己是某個特定門號的擁有者,接著說服供應商轉移目標的 SIM 卡至攻擊者自己底下的 SIM 卡
在目標修復原先的權限期間,攻擊者可以完全控制整個目標門號,如此一來攻擊者可以用該門號來進行誘騙,但更有價值的攻擊在於用作繞過門號保護的多因子認證機制 (Multi-Factor Authencation, MFA),畢竟會需要用到 MFA 的服務背後肯定有更誘人的成果
通訊軟體釣魚
一樣也是在後疫情時代越發興起的攻擊管道,不得不提這些用來聊天與傳訊息的應用服務也漸漸的受到惡意組織的關注,包括像是 Discord、Slack 以及微軟 Teams
不論用來通訊的媒介為哪種,攻擊者都有辦法根據大範圍的群眾設計一般的網路釣魚模組,又或者根據少量的目標來規劃精準的策略,一切都根據惡意組織想要達成哪種目標
利用社交工程強化網路釣魚
接著讓我們來談一下社交工程技巧的多樣性吧,我們介紹一些攻擊者常用且很重要的社交工程概念與技巧,事實上,社交工程比起技術操作,更注重於心理操控的手法,代表攻擊者在實施時需要關注更多關於”人性”的判斷,在過程中需要不斷地嘗試與除錯
藉由這一點,作為滲透測試員應該要讓網路釣魚內容盡可能的受到信任,與此同時,我們在加上一些社交工程的香料,對目標施加一些壓力,以此來讓受害者忽略他們自身理性的判斷
任何成功的網路釣魚行動其最終目標都是取得受害者的信任,我們想要受害者完全的信任我們,乃至於我們叫他們做什麼都不會受到懷疑,我們要將整個假象弄得非常真,簡單來說,編出來的故事要符合目標的預期來避免受到警戒
同時,這份故事也得讓我們的 payload 合理才行,就像如果騙局中說明我們來自某家公司,那麼釣魚網站頁面就該做的十分相似,送信跟連結的網域至少也要跟目標熟悉的網站很類似,如果不仔細看的話就會漏看的那種,就像是 GOOGLE.com 跟 GO0GLE.com,這也是為什麼專業的網路釣魚公司都喜歡採購大量看起來很相似的網域
極小的細節也同樣重要,像是 TLS 保護的網站如果出現 HTTP 不安全連線狀態就會讓受害者起疑,眾多的疏忽就會不斷地侵蝕信任感,所以網站裡該有的細節在釣魚網站中一個都不能少
然而,建立信任感不是只有技術成分,添加一些柔情戰術也是很重要的,假如我們正在假冒某個人物跟目標進行聯絡時(甚至用上假冒帳戶的信箱),也要嘗試盡可能的模擬此人的寫作習慣,不讓受害者起疑是最大的目標,現在更厲害的是,在說服讓受害者點開惡意檔案或連結之前,就已經建立起親密感了
找出與被害者建立信任的管道,或者利用已經存在的信任關係,都可以在網路釣魚活動中使成功率上升,這些的確很重要,但還是有其他條件必須考慮進來
在社交工程的過程中攻擊者非常喜歡使用”緊迫性“,如果目標沒有仔細思考釣魚內容要求做的事情是否合理的話,就很容易操控目標做些攻擊者要求的事情,像是如果待在一間時常有急迫性任務公司文化的組織裡,這類的員工收到緊急任務時就不假思索的施行,就更容易地落入攻擊者的圈套裡了
“恐懼“也是一項在社交工程裡受到喜愛的手法,製造出能夠讓受害者做不出判斷的情境,也可以讓攻擊成功的機會大幅上升,”授權“的請求類似於”恐懼”,能夠放大攻擊者請求的緊急條件,要利用這類的條件通常需要是管理層級的人員,甚至是假冒公司的 CEO,但這種策略要思考手頭上有的素材是否能讓受害者信任,以及用這樣的頭銜是不是有辦法建立親密感(如果整天被上司罵的員工突然被說做得很好只會覺得心裡有鬼😬)
最後,網路釣魚裡也經常使用”獎勵“這種正面鼓勵的元素,在釣魚的過程中攻擊者提供實體的獎品作為誘餌讓受害者執行一些動作(恭喜你抽中一台 iPhone 17 Pro),可能是商城的禮物卡、現金或其他非物質像是某個超級網紅的邀請(?),的確某些公司會開出一些活動讓參與者可以獲得抽獎機會,所以這才是棘手的地方,有時候會讓受害者難以做出判斷
隨著我們活著的社會越來越複雜,我們在網路上的身份越來越多,卻也導致攻擊者可以搜集更多的社群素材,可以說,隨著能讓受害者目標更加信任的素材,就與網路釣魚的成功率呈正相關,利用現有的信任關係,以及盡可能的添加其他種操控的手法,就有辦法讓受害者失去判斷的能力,從而提高網路釣魚的效率,畢竟,網撒得越大,十萬個目標裡頭中一個就可以回本了
LLM、生成式 AI 以及 Deepfake
隨著 GPU 的價格下降跟機器學習技術越來越完善,LLM 跟 生成式 AI (Generative AI, GenAI) 技巧提供了網路釣魚與社交工程一個新的戰場,生成式 AI 對於攻擊者來說要假冒目標某個親近的人成本變低,而 LLM 則對於編寫故事的合理性也有很大的感善
在近代的惡意威脅情資報告中都開始提到生成式 AI 如何在現實世界發揮網路釣魚的能力,舉例來說,2023 年微軟在年報 Microsoft Digital Defense Report 2023[1] 就警示了未來 LLM 會讓網路釣魚信件數量上升,Mandiant 則在 2024 M-Trends report[2] 裡提醒在社交工程裡使用生成式 AI 的比率會越來越高
現況則是這些組織只能夠指出他們所觀察到的活動,那跟你我一樣的終端用戶呢?如此多的線上版本工具,甚至現在研究 n8n 這類 Agent 串接許多模型,自然也有可能把念頭動到規劃跟研究網路釣魚攻擊怎麼做,而 LLM 還可以幫助我們搜集目標資訊,再透過 prompt 要它給我們如何跟這個人互動的方法
再者,LLM 還可以跟 Retrieval Augmented Generation (RAG) 合作處理大量的目標公開資訊,在萃取出最核心的素材放進故事當中,即便面對高價值的目標,也許靠一般搜集到的資訊就夠用了,再加上生成式 AI 的調整,攻擊者就能夠產出客製化過的攻擊
近幾年語音模擬技術也越來越穩定了,從以前的「喂,是我啦,阿明啦」,到現在只需相對少量的語音樣本,就可以建立出難以分辨的語音模型出來,再透過輸入各式各樣的腳本,就有用不完的劇本可以播,只要未來生成式 AI 越來越好用,調查方或甚至我們的父母都難以區分出到底是誰在講話
Deepfake 也很常出現在電視頭條新聞裡,惡意組織用在網路釣魚攻擊中更是毫不手軟,2024 年奧雅納公司就遭受 deepfake 詐騙案,在一次的視訊通話中攻擊者用 deepfake 複製了財務長跟其他員工的面貌,再萃取這段語音,假冒成財務長去簽署一份兩千五百萬美元的案子,但最終錢都轉進惡意組織的名下
隨著生成式 AI 技術越來越發達,對於滲透測試員來說利用該技術能夠加強傳統網路釣魚技巧不足的地方,以及關注一些浮水印的防禦技術也是一條路
Reference
[1] Microsoft Security, “Microsoft Digital Defense Report 2023,” Microsoft, 2023, https://www.microsoft.com/en-us/security/security-insider/threat-landscape/microsoft-digital-defense-report-2023
[2] Mandiant, “M-Trends 2024 Special Report,” Google Cloud Security, 2024, https://services.google.com/fh/files/misc/m-trends-2024.pdf
One Comment