当您成为黑客：现代攻击如何诱骗您攻击自己

传统的“黑客攻击受害者”叙事正在转变，一种新型的网络攻击正在兴起。在这种攻击中，对手操纵您，让您成为自己的攻击者。根据 ZDNet 最近一篇题为《这种新型网络攻击诱骗您攻击自己，以下是如何识别它》的文章，这种策略简单但有效。它是一种社会工程学攻击，导致您自己损害自己的系统或凭证，而非外部人员强行侵入。

这是什么攻击？其工作原理是什么？

这种攻击的核心是利用人的心理、信任和看似无害的提示。攻击者并非部署明显的恶意软件或利用零日漏洞，而是策划一个场景，让您（用户）采取行动来解锁自己的数据、交出凭证或授予远程访问权限。实际上，您成为了损害自己安全的工具。

示例可能包括：

• 被请求“帮助进行故障排除”，从而授予他人对您自己计算机的远程桌面访问权限，您误以为这是合法的服务台请求。
• 收到一封电子邮件或消息，其中包含一个您被告知是安全的链接/控件，但实际上这是窃取凭证的幌子。
• 被操纵使用您的特权帐户执行命令（可能是“快速修复这个问题”），而实际上该命令会下载恶意负载。

这与经典的网络钓鱼不完全相同，它更加微妙：部分是社会工程学，部分是自我损害，部分是滥用信任和权限。

为何此事重要

• 减少对恶意软件的依赖：因为是您执行了操作（授予访问权限、更改设置），攻击者无需通过隐蔽的恶意软件或复杂的零日攻击来侵入。
• 更难被传统工具检测：传统的防病毒软件或防火墙警报可能不会触发，因为这是您自己授予的权限。
• 远程工作和管理员特权加剧了风险：随着全球范围内远程办公的普及，攻击者更容易说服独自在家办公的远程用户，让其相信请求来自公司真正的服务台。不幸的是，IT部门仍然默认授予远程工作者管理员权限，这使得当用户点击或遵循授予权限的指令时，此类攻击更容易得逞。
• 人的行为仍然是最薄弱环节：无论您的技术防御多么强大，如果登录或远程访问是（在意外或欺骗下）自愿授予的，那么防线就会被突破。

如何识别它——关键迹象

以下是一些需要留意的实际警告信号：

• 意外请求：您收到消息/电子邮件/即时消息，要求您执行一些不寻常的操作（授予访问权限、安装软件、点击链接），即使它看起来来自您认识的人或看起来是合法的。
• 压力或紧迫感：请求带有时间压力（“我们现在需要修复这个问题”）或使用权威性（“IT强制要求”、“紧急安全事件”）来推动行为。
• 远程工具或管理员操作：请求要求您安装远程控制软件、授予管理员权限或更改帐户设置。这是一个危险信号。
• 凭证请求或会话转移：如果您被要求分享凭证，或通过一个对您的角色来说似乎很奇怪的“门户”登录。
• 不熟悉的上下文：即使请求看起来来自值得信赖的同事，也要问：这是该同事通常会做的事情吗？工作流程合理吗？

您应该做什么（防御措施）

• 对所有访问/授予请求持怀疑态度：即使它看起来像是组织内部人员发出的，也要通过单独的渠道（例如，通过已知的良好号码打电话）进行验证。
• 使用最小权限原则：限制管理员或远程支持访问权限，这样即使用户受骗，他们也只有有限的权限。
• 教育用户了解“自我损害”风险：传统培训涵盖网络钓鱼或恶意下载；要重点强调那些您执行了会授予访问权限的操作的场景。
• 实施并强制执行多因素身份验证 (MFA)：这样即使凭证通过社会工程学被盗，仍然存在一道屏障。
• 记录和监控访问模式：突然的远程访问会话、凭证更改或不寻常的登录位置都应触发警报。
• 为 IT/支持访问维护清晰的流程：将远程支持的操作方式制度化（例如，使用工单、批准的工具、验证流程），以便标记临时请求。

实例与影响

现代攻击者越来越依赖于将内部用户变成不知情的共犯。网络安全计划现在不仅要专注于防止外部入侵，还必须阻止自我造成的访问，即员工被操纵授予攻击者访问权限的情况。

那些严重依赖远程访问工具、自带设备 (BYOD) 政策和分布式团队的组织尤其面临风险。用户可能会想：“是的，我认出这是支持请求”，但其上下文可能已被伪造，或者发件人的帐户早已被盗用。

最终思考

我们的世界正以前所未有的速度变化。我们今天面临的威胁不仅仅是“攻击者闯入”，而是逐渐演变为“攻击者说服您让他们进来”。认识到这一转变对于个人和组织在持续保护我们网络、数据和未来的斗争中至关重要。

延伸阅读： ZDNet – 《这种新型网络攻击诱骗您攻击自己，以下是如何识别它》