Palo Alto Networks的Unit 42威脅情報小組近日發布《2025年Unit 42全球事件回應報告:社交工程專刊》。本報告深入探討過去一年中最常見的初始攻擊手法──社交工程。在這段期間內,超過三分之一的Unit 42事件回應案件,都是從社交工程攻擊手法開始的。
!此為分頁標誌前台不顯示!
報告中,Unit 42說明兩種主要的社交工程模式,兩者皆透過模仿可信任行為來繞過防護機制:
高互動式入侵(High-touch compromise)針對特定個人進行即時攻擊。攻擊者會冒充內部員工、利用客服中心漏洞,並在不使用惡意軟體的情況下提升權限。此類攻擊常透過語音誘騙、現場情境設計及竊取身分資料執行,典型案例包括「Muddled Libra」及多起國家級攻擊行動。這些「白手套」攻擊高度客製化,運用客服冒充、語音偽裝及技術性偵察,達成深度入侵、擴大系統控制權限,並提高金錢獲利的可能性。
大規模欺騙攻擊則涵蓋類似ClickFix的活動、SEO毒化、假冒瀏覽器提示以及結合多種誘餌,誘使使用者在多種裝置和平台上主動觸發入侵。大規模的ClickFix活動會透過虛假的系統提示和CAPTCHA測試,誘騙使用者執行惡意軟體。我們在醫療、零售及政府部門均觀察到此類攻擊,常導致大量帳號憑證外洩及營運中斷。
社交工程攻擊屢見不鮮,主因在於過度授權的存取權限、行為監控盲點,以及對人工作業流程中用戶信任的缺乏驗證。攻擊者透過模仿日常操作,利用身分系統、客服流程與快速審核機制來鑽漏洞。為了對抗此威脅,資安主管必須超越單純的用戶教育,將社交工程視為系統性風險,並採取以下措施:
- 推行行為分析與身分威脅偵測與應變(ITDR),主動偵測憑證濫用行為。
- 強化身分復原流程的安全性,並落實條件式存取控制。
- 擴大零信任原則的適用範圍,涵蓋使用者,而非僅限於網路邊界。
- 隨著科技演進,攻擊者持續利用人性信任與工作效率弱點。信任、驗證與防禦的本質也在改變。
本報告反映過去一年來的趨勢與攻擊手法創新,透過脈絡化這些發現,資安主管能夠調整防禦策略,保障營運持續性,並在不斷變化的威脅環境中保持優勢。