信任是人际关系的核心,我们每天都本能地进行信任评估。这些决策往往是在潜意识中进行的,它指导我们的行为方式、我们投票支持的人、我们处理的业务以及我们对事情结果的信心。不幸的是,出于所有这些原因,信任也是每个犯罪分子的首选武器之一。从知道居民们信任他们的社区足以在炎热的天气里打开窗户的入室窃贼,到骗取老妇人毕生积蓄的骗子,信任是首选的武器。
就像其他犯罪分子一样,网络犯罪分子滥用信任,使用通常称为“社会工程”的策略来访问我们的数字系统并以多种方式窃取数据。但社会工程并不是滥用信任的唯一途径。了解他们如何利用我们错误的信任决策是防御的第一步。
滥用数字信任通常涉及利用我们在日常数字生活中使用的应用程序或工具来处理我们的业务或个人事物。这是一种越来越多地被坏人用来执行恶意操作的技术,例如发送恶意软件或网络钓鱼页面的链接。
网络钓鱼背后的一个含义是数字信任的武器化:攻击者利用受害者信任和熟悉的知名品牌。任何类型的工具、应用程序或在线服务都可能被恶意模仿。这就解释了为什么被模仿最多的品牌通常是由领英、谷歌、亚马逊和微软等在我们的数字生活中发挥重要作用的公司领导的。当然,网络钓鱼背后的另一个含义是对人性的利用;例如,挑逗受害者的好奇心或制造紧迫感(如需要支付的运费发票)。第二个方面解释了为什么像 DHL 这样的品牌经常排在排行榜的首位:留下来自受信任品牌的链接邀请确实是一个非常有效的方式。从攻击者的角度来看,信任和好奇心(或紧迫性)的结合是致命的。
同样,利用合法的云服务来分发恶意内容(例如恶意软件或网络钓鱼页面)是一种网络钓鱼技术,这种技术在过去几年中变得越来越普遍,这得益于员工的分布以及随之而来的对云服务的日益普及(和信任)。在这种情况下,攻击者不仅利用了个人(看到熟悉的品牌和合法证书)对云应用的数字信任,还利用了组织(他们认为云提供商受信任,因此他们不会对非云网络流量强制执行相同的安全控制)对云应用的数字信任。攻击者还依赖一些额外的因素来增加攻击的成功率;例如,他们无需担心基础设施的准备工作,而可以从随时准备就绪、可用且有弹性的基础设施发起攻击。根据最新的 Netskope 云和威胁报告显示,在过去 12 个月中,47% 的恶意软件是由云应用分发的。
同一份Netskope 报告还发现,搜索引擎优化 (SEO) 是一种越来越普遍的用于武器化数字信任的技术。为了证实这一趋势,网络钓鱼下载量在过去 12 个月一直在上升,攻击者使用SEO技术获取在热门搜索引擎(包括谷歌和必应)排名靠前的恶意PDF文件。SEO 的滥用当然不是什么新鲜事,但它现在比以往任何时候都更有效,因为太多的人相信谷歌(以及一般的搜索引擎)如同现代的神谕。这意味着他们忽略了一个事实:即使链接在搜索引擎中排名靠前,也不意味着它是合法且无害的。疫情导致的后果之一是,我们将信任从现实生活转移到了数字世界,为威胁者提供了新的可能性。
回顾一下过去12个月恶意软件下载最多的类别,可以发现这一趋势还在延续:“技术”(27%)高居榜首,领先于“搜索引擎”(15%)、“新闻和媒体” ”(11%)、“流媒体和可下载视频”(11%)和“共享软件/免费软件”(8%)。攻击者将对专业工具(技术)或个人习惯(新闻和媒体或流媒体和可下载视频)的信任变成对互联网公民的威胁。
事实上,“共享软件/免费软件”出现在恶意软件引荐来源列表中的前列引发了另一个重要问题,这与个人和组织需要接受新的安全文化有关。同样,利用这一类别传递恶意内容并不是什么新鲜事。然而,这是一个个人和企业相关使用公司设备的界限模糊的时代,忽视表面行为(例如在企业设备中下载免费软件而无视企业政策)可能会给个人和组织本身带来痛苦的后果。当你考虑到“共享软件/免费软件”也是直接恶意软件传播的最主要类别之一(排名第五,占5%),仅次于内容服务器和技术(均占23%),未分类(14%)和商业(6%),这个坏习惯尤其危险。
建立安全文化意味着教育人们了解他们可以在多大程度上获得数字信任。从技术角度来看,应用于组织的等效概念当然是零信任原则,它否定了隐式信任的概念,并将访问模型从“信任,但验证”范式转变为“验证,然后信任”。 当被邀请打开链接或从受信任的来源下载产品时,无论是出于个人目的还是专业目的,用户都应采用相同的方法,用一种明确的、持续自适应的信任取代隐式信任。但由于错误是人为的,因此组织还应采取技术对策,采用零信任方法,以确保只有具有正确安全策略的用户才能访问内部资源。
原标题:How Threat Actors Weaponize Your Trust
作者:Paolo Passeri
链接:https://www.infosecurity-magazine.com/blogs/threat-actors-weaponize-trust/