人工智慧(AI)的進步正大幅推動社交工程攻擊的激增與複雜化,使其成為2024年和2025年網路安全領域的主要威脅。攻擊者利用AI技術,使得欺騙性策略更加精緻且難以辨識。台灣應用軟件根據過去2年發生的社交工程報導資訊,將有關的資料彙總整理出本報告,提供有關組織強化防範社交工程攻擊之參考:
主要攻擊趨勢與案例:
- AI驅動型攻擊崛起:
- 深度偽造(Deepfake): 深度偽造技術已成為重大威脅。犯罪分子利用AI生成的語音和面孔冒充高層主管和受信任人員,進行視訊會議和語音訊息詐騙,導致企業數百萬美元的損失。例如,2024年Arup公司就因一場詐騙損失了2500萬美元。這使得商務電子郵件詐騙(BEC)和冒充CEO詐騙變得更加個人化且具說服力。
- 生成式AI用於內容創建: 大型語言模型(LLMs)被用來製作個人化且語法完美的網路釣魚郵件、簡訊(smishing)和社群媒體內容。這使得人們更難透過拼寫錯誤等常見危險信號來識別惡意通訊。AI還能自動化網路釣魚對話的回應,使其更具真實性。
- AI用於開源情報(OSINT): AI被用於收集開源情報,幫助攻擊者綜合大量公開數據,創建詳細的目標用戶檔案,以便進行高度個人化的攻擊。
- 社交工程作為主要初始入侵途徑:
- 首要入侵媒介: 社交工程仍然是網路攻擊的主要初始入侵途徑,佔所有事件的很大一部分(例如,2024年5月至2025年5月期間,Unit 42事件應變案例中有36%始於社交工程)。
- 「手動鍵盤操作」攻擊: 2024年大多數網路攻擊涉及「手動鍵盤操作」方法,即攻擊者使用被盜用的使用者憑證(通常透過社交工程獲得)手動操作和導航網路。這包括冒充使用者向服務台重設密碼或繞過多因素驗證(MFA)。
- 不斷演變的攻擊向量與技術:
- 網路釣魚及其變種: 網路釣魚、魚叉式網路釣魚、語音網路釣魚(vishing)和簡訊網路釣魚(smishing)仍然普遍。語音網路釣魚攻擊尤其顯著增加(2024年上半年至下半年增長了442%),因為攻擊者轉向了非傳統的惡意軟體部署方式。
- 預設情境(Pretexting): 建立虛假情境和身份(例如,冒充IT支援、人資或供應商)以誘騙受害者洩露資訊或授予存取權限,仍然是核心策略。
- 新型傳遞機制: 攻擊正在擴展到新的平台和方法,包括搜尋引擎優化(SEO)中毒、惡意廣告、偽造系統提示和偽造瀏覽器提示。
- 引誘與交換: 透過誘人的提議或提供「協助」來換取敏感資訊或存取權限。
- 供應鏈和身份利用: 社交工程攻擊日益針對供應鏈,並利用身份系統、服務台協議和快速批准流程,模仿日常活動。例如,2025年英國的M&S和Co-Op事件,攻擊者冒充員工重設第三方實體的密碼,導致嚴重的數據洩露。
- 招聘冒充: 北韓駭客利用生成式AI創建虛假的LinkedIn個人資料和深度偽造影片進行面試,以在目標組織中獲得遠端職位,從事間諜活動或進行破壞。
2024-2025社交工程攻擊實際案例
1. 深度偽造 (Deepfake) / AI驅動型冒充攻擊- 案例一:香港跨國企業2500萬美元詐騙案 (2024年)
- 概述: 一名香港的財務員工在參與一場看似真實的視訊會議後,被騙取了約2560萬美元(約2億港幣)。詐騙者使用了AI生成的深度偽造技術,完美模仿了該公司財務長及其他高階主管的聲音和面部表情。儘管該員工最初對網路釣魚有所懷疑,但高度逼真的視訊會議最終打消了他的疑慮,導致資金被轉移到詐騙者的帳戶。
- 報導資料來源:
- 案例二:英國工程公司Arup遭深度偽造詐騙 (2024年初)
- 概述: 英國工程公司Arup的一名員工透過與「高階主管」進行視訊通話後,被詐騙者使用AI深度偽造技術詐取了2500萬美元。這次攻擊並非針對公司系統的傳統網路攻擊,而是透過心理學和高科技深度偽造技術取得員工信任,誘騙其進行資金轉移。這突顯了當前網路犯罪的演變,不再僅限於技術入侵,而是利用科技來實現人類層面的欺騙。
- 報導資料來源:
2. 預設情境 (Pretexting) / 服務台欺騙與MFA繞過- 案例一:雲端客戶記錄遭入侵事件 (2024年5月-2025年5月,Unit 42報告)
- 概述: 攻擊者冒充一位被鎖定帳戶的員工聯繫一家組織的服務台。他們利用洩露和公開的資訊通過身份驗證,取得了客服人員的信任,並成功要求重設多因素驗證(MFA)憑證。一旦獲得存取權限,攻擊者便登入系統並使用合法的管理工具進行橫向移動,所有操作都模仿合法使用者行為以避免觸發警報。
- 報導資料來源:
- 案例二:SaaS帳戶遭網路釣魚攻擊與MFA繞過 (2024年末至2025年初)
- 概述: Darktrace 安全營運中心調查了兩起SaaS帳戶入侵事件,攻擊者利用專案協作應用程式Milanote和Tycoon 2FA網路釣魚工具包,進行廣泛的網路釣魚活動。該攻擊鎖定多因素驗證(MFA),透過偽造的Microsoft或Google登入頁面攔截憑證和MFA憑證。在MFA完成後,攻擊者會劫持會話cookie,即使憑證被重設,也能重放會話以存取使用者帳戶。攻擊者常在郵件主題中提及緊急事項(如未付發票、密碼過期)以促使使用者立即行動。
- 報導資料來源:
3. 供應鏈與身份利用攻擊- 案例一:英國零售商Marks & Spencer供應鏈攻擊 (2025年4月)
- 概述: 英國主要零售連鎖店Marks & Spencer(M&S)遭到一次重大的網路攻擊,被迫暫停線上服裝訂單和禮品卡服務。最初被認為是技術錯誤,後來發現是由於第三方供應商受損引起的供應鏈攻擊。攻擊者利用社交工程策略,操縱人類行為竊取登入憑證,然後橫向移動滲透到M&S的系統中,繞過了內部安全措施。這次事件提醒企業,對第三方系統和供應商的依賴帶來日益增長的風險。
- 報導資料來源:
- 案例二:XZ Utils後門事件 (2024年3月)
- 概述: Microsoft的軟體工程師Andres Freund「無意中發現了隱藏在Linux作業系統一部分軟體中的後門」,即XZ Utils的發布壓縮包被篡改。這並非傳統的供應鏈惡意注入,而是一個多階段攻擊,攻擊者透過社交工程策略,逐步贏得開源專案貢獻者的信任(一位名為Jia Tan的開發者)。經過長時間的貢獻,惡意行為者在看似無害的git提交中植入了惡意程式碼。該後門允許未經授權地存取全球數百萬或至少數十萬的SSH伺服器,突顯了社交工程和供應鏈攻擊對開源專案的嚴重風險。
- 報導資料來源:
4. 招聘冒充攻擊- 案例一:北韓駭客利用AI冒充求職者 (2024年下半年)
- 概述: 北韓駭客利用生成式AI技術創建假的LinkedIn個人資料和深度偽造影片,進行虛假的面試,以在目標組織中獲得遠端工作機會。這使得他們能夠以內部人員的身份潛入公司網絡,從事間諜活動或進行破壞。一個值得注意的案例是,一家網路安全公司KnowBe4在2024年下半年也曾被深度偽造演員欺騙並聘用,顯示了這些偽造內容的說服力之強,甚至能愚弄資安公司。
影響與緩解措施:
- 財物與資料損失: 社交工程導致嚴重的財物損失(例如,因社交工程造成的數據洩露平均成本估計為410萬美元)和大量數據外洩。
- 挑戰: 人類固有的信任傾向使得社交工程難以完全防禦。傳統防禦措施對這些以人為中心的攻擊通常無效。
- 建議:
- 加強培訓: 進行更實際的資安培訓,包括深度偽造語音釣魚模擬和實際社交工程演練至關重要。員工是第一道防線。
- 更嚴格的驗證: 實施強大的身份驗證方法和流程,特別是針對支援團隊,以減少對容易被偽造的資訊的依賴。
- 高級檢測: 部署即時監控工具、基於自然語言處理(NLP)的可疑語言檢測系統,以及檢測視訊和音訊串流異常的AI演算法。
- 多因素驗證(MFA): 雖然不是萬靈丹,但MFA是一種強大的防禦,儘管攻擊者正在尋找繞過它的方法(例如MFA疲勞攻擊)。
- 零信任架構: 保護身份並建立跨領域可見性。
- 主動威脅獵捕: 與託管檢測和應變(MDR)服務供應商合作,以增強檢測和應變能力。
2024年和2025年的趨勢清楚表明,在AI的推動下,社交工程將繼續作為一個主要且不斷演變的網路威脅,需要持續的適應以及以人為本的網路安全方法。