社交工程攻击激增——新Unit 42报告
作者:Michael Sikorski
2025年7月30日
阅读时间:4分钟
浏览次数:524
报告概述
Palo Alto Networks Unit 42今日发布《2025年全球事件响应报告:社交工程专题》。该报告深入分析了过去一年中最主要的初始攻击向量——社交工程。在此期间,Unit 42处理的事件响应案例中,超过三分之一始于社交工程技术。
报告详细解析了攻击者如何利用信任关系突破组织防线,导致业务中断和财务损失。洞察数据来源于Palo Alto Networks遥测技术、700多个事件响应案例研究以及Unit 42威胁研究团队的分析。
社交工程数据揭示人类脆弱性如何被利用
社交工程是Unit 42观察到的最常见初始访问向量,其中网络钓鱼占社交工程驱动案例的65%。这些攻击通常针对特权账户(66%),利用内部人员冒充(45%),并涉及回调或语音技术(23%)。随着攻击者开始利用AI技术,这些手段变得愈发复杂。
社交工程的成功源于对人类行为和薄弱控制措施的利用,而非技术漏洞。数据显示了几个关键模式:
- 业务中断:60%的社交工程攻击导致数据泄露,比其他初始访问向量高出16个百分点。商业邮件欺诈(BEC)约占所有社交工程案例的一半,其中近60%导致数据泄露
- 新型向量:除网络钓鱼外,35%的案例使用SEO投毒、恶意广告、短信钓鱼和多因素认证轰炸等方法。攻击者正从电子邮件扩展到其他平台和设备
- 控制缺口:被忽略的警报(13%)、过度权限(10%)和缺乏多因素认证(10%)是常见弱点。超负荷的安全团队经常错过或降低警报优先级
AI推动社交工程进入新时代
AI技术正在重塑社交工程威胁格局。虽然传统方法仍然存在,但攻击者现在使用AI工具来提高速度、真实性和规模。Unit 42在事件中观察到三个级别的AI赋能工具:
- 自动化工具加速入侵步骤
- 生成式AI创建类人内容,用于个性化诱饵、语音克隆和自适应交互
- 代理AI自主执行多步任务,包括跨平台侦察和创建合成身份用于定向活动
这标志着AI组件正在支持传统社交工程,显著提升攻击的规模、速度和适应性。
高度定向与大规模攻击并存
报告中概述了两种主要社交工程模式,均通过模仿可信活动来绕过控制措施:
高接触型入侵实时针对特定个人。威胁行为者冒充员工,利用服务台并在不部署恶意软件的情况下提升访问权限。这通常涉及语音诱饵、实时借口和被盗身份数据,如Muddled Libra和各种国家支持的活动所见。这些白手套攻击高度定向和定制化,采用服务台冒充、语音欺骗和技术侦察来实现深度访问、更广泛的系统控制和更高的获利潜力。
大规模欺骗包括ClickFix式活动、SEO投毒、虚假浏览器提示和混合诱饵,在多个设备和平台上触发用户发起的入侵。大规模ClickFix活动通过欺诈性系统提示和CAPTCHA测试诱使用户执行恶意软件。这些攻击在医疗保健、零售和政府部门广泛观察到,通常导致广泛的凭据泄露和运营停机。
组织如何成为社交工程的易攻目标
社交工程持续存在的原因是过度权限访问、行为可见性差距以及人类流程中未经验证的用户信任。威胁行为者通过模仿常规活动来利用身份系统、服务台协议和快速通道审批。
为应对这一挑战,安全领导者必须超越用户意识培训,将社交工程视为系统性威胁。这需要:
- 实施行为分析和身份威胁检测与响应(ITDR),主动检测凭据滥用
- 保护身份恢复流程并强制执行条件访问
- 将零信任原则扩展到用户而不仅仅是网络边界
随着技术发展,攻击者正在利用人类信任和生产效率。信任、验证和防御的本质正在发生变化。本报告反映了过去一年观察到的趋势和攻击者创新。通过将这些发现置于具体环境中,安全领导者可以获得重新调整防御、保护业务连续性并在不断变化的威胁环境中保持优势的工具。
要深入了解这些不断演变的战术和Unit 42的全面分析,请在此下载完整报告。
要了解Unit 42如何为您的组织提供支持,请访问我们的网站。