原创 安全419 2025-05-26 16:39 北京
英国三大零售巨头接连沦陷,社会工程攻击如何突破服务台防线?
服务台人员本为解决IT问题而生,当遇到 IT 问题时,人们都倾向于人工服务而不是求助于机器人提问。但网络犯罪分子也在利用这种人为因素向服务台发起攻击,他们会利用社会工程学,诱骗服务台人员泄露凭证、重置密码或批准后门访问。本文将剖析其攻击手法,并提供既强化安全又不失人性化的防御策略。
近期服务台攻击事件
Marks&Spencer(2025年4-5月):攻击者诱导IT服务台重置密码,窃取客户个人数据,致其在线订购及点击提货服务中断超三周。
Co-Op Group(2025年5月):攻击者伪装身份获取系统级权限,盗取客户联系方式及员工凭证,引发2300家门店库存短缺。
Harrods(2025年5月):作为两周内第三家遇袭的英国品牌,其及时检测并阻断未经授权访问,未造成数据泄露。
迪奥(2025年5月):确认了2025年5月7日发生的数据泄露事件,外部攻击者非法访问客户联系信息及购买记录,但未涉及财务数据。
米高梅度假村(2023年9月):早在2023年,Scattered Spider就打电话给米高梅度假酒店的IT服务台。他们欺骗员工禁用了一名高级经理的2FA,并发起了勒索软件活动,破坏了拉斯维加斯赌场的网络、自动取款机、老虎机和数字密钥系统。
上述事件凸显服务台安全防护薄弱,攻击者通过伪装信任角色突破防线后可能引发严重后果。
黑客为何将服务台作为攻击目标?
简单地说,操纵一个人比进行技术性的入侵更快、更容易。服务台团队经过专业培训,能够快速解决问题,帮助员工恢复工作。攻击者会伪装成惊慌失措的高管或值得信赖的供应商,然后他们会将同理心、紧迫感和信任武器化,利用社会规范,诸如乐于助人、尊重权威和厌恶冲突等诱骗员工仓促行事或规避流程。一旦获得突破口,便会进一步提升权限或部署勒索软件。
社会工程攻击如何进行?
情报收集:一类攻击者无差别锁定服务台作为目标;另一类则通过LinkedIn、公司新闻稿、组织架构图及社交媒体等公开资源,收集高管信息、企业动态等细节,为攻击提供“真实背景”。
剧本设计:结合侦察所得信息,伪造紧急事件(如系统故障、高管需求),谎称需重置密码或MFA(多因素认证),利用服务台“乐于助人”的职业特性降低警惕。
目的性通话:通常会选择业务繁忙时段拨打,以增加客服压力,使用服务台人员的母语来提高信任度,甚至部分团伙已采用AI语音合成技术模仿内部员工声线。
建立紧迫性和信任:攻击者会指名道姓地提及重要客户或高管姓名,或者是引用真实项目细节来建立信任。随后会编造一个虚假的关键业务理由,来解释为何需要立即获得访问权限,进而建立紧迫性。
突破MFA防线:当服务台人员请求MFA推送确认时,攻击者声称他们从未收到它,或者借口电话丢失或损坏,然后他们伪造特批文件请求MFA重置。而服务台人员急于提供帮助,并担心行政工作的延误,不得不同意操作。
凭据重置和令牌交换:通过服务台操作禁用原MFA设备,设置临时设备,攻击者接受新的临时令牌完成登录。
建立初始入侵点:通过有效的凭证和活跃的会话,攻击者现已获得进入组织环境的访问路,为后续勒索软件部署或数据窃取铺路。
防御升级的关键措施
强化身份核验:
强制多因素验证(如管理层二次审批)及可定制化验证流程,阻断伪造场景;
分离服务台系统与核心身份存储,限制代理默认操作权限,强制实施最小权限(如高风险操作需人工签字)。
技术与培训结合:
定期开展网络钓鱼模拟演练,提升客服对异常请求的敏感度;
部署集成化解决方案,通过自动化风险检测与交互式验证降低人为失误风险。
结语:
服务台因人性化服务成为攻击焦点,攻击者利用社会工程诱骗凭证、突破MFA防线。防御需强化多因素验证、权限管控及流程审计,结合技术工具与员工培训,在信任与安全间建立有效平衡。正如安全专家警示:"当AI能完美模仿CEO声纹时,人工验证必须进化到生物特征+动态行为认证的2.0时代。"
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
