相比依賴高級工具或復雜腳本，經驗豐富的攻擊者往往選擇用最有效的武器——社交攻擊——來入侵系統并竊取數據。社交攻擊位于網絡安全與心理學的交叉點，利用人類行為來達成惡意目的。

從Kevin Mitnick的傳奇騙局到當今由AI驅動的威脅，網絡犯罪分子一路走來，不斷進化戰術。近年來，社交攻擊變得更加戰略化和精準化。

攻擊者不再單純追求從盡可能多的人身上騙取小額資金，而是主要瞄準企業內部具有廣泛權限的關鍵人員，這類目標通常擁有較高的網絡訪問權限、可使用遠程工具和敏感數據，或者具備執行大額金融交易的能力。

AI驅動的犯罪“情報”

AI的崛起也滲透到社交攻擊之中，攻擊者會構造虛假的身份和場景，讓受害者基于錯誤的假設而“不得不”服從其指令。網絡犯罪分子常冒充合作伙伴、客戶或高層管理人員來誘騙受害者，例如要求其轉賬。

近期，一家大型資產管理公司就遭遇了類似攻擊。調查發現，攻擊者事先做了大量調研，專門鎖定了財務部門的一名高管。

攻擊流程是這樣的：首先發來一份看似來自DocuSign的虛假保密協議(NDA)，冒充該公司現有合作伙伴。經理簽署文件后，被要求撥打郵件中的聯系電話，但無人接聽。第二天，他收到了所謂“合作伙伴”和其CEO的回電。在會議電話中，“CEO”確認了NDA的真實性，并稱需要支付一筆定金才能開始項目。結果，這名財務負責人轉賬了100萬歐元。

調查顯示，真正的CEO從未參與過通話。攻擊者利用AI克隆了CEO的聲音，從而操縱了受害者的判斷。

釣魚郵件“雨點般落下”

與其他網絡攻擊不同，社交攻擊并不依賴利用代碼或網絡架構的漏洞，而是利用人類行為——而人在安全鏈條中往往是最薄弱的一環。尤其是在繁忙壓力下，人更容易上當。

例如，戰略性社交攻擊攻擊往往分兩步：

步驟1：制造問題

攻擊者人為制造技術問題來增強其騙局的可信度。常見方式是郵件轟炸或“灰色郵件”泛濫——攻擊者用受害者的郵箱注冊大量服務，導致其收到成千上萬封合法郵件。某個案例中，一名受害者在不到兩小時內收到了3000封郵件。

步驟2：自稱“救星”

隨后，冒充“服務臺經理”的人會打電話來“幫忙解決問題”，以便受害者能夠繼續工作。攻擊者往往趁機套取登錄憑證，或通過電話誘導受害者授予桌面訪問權限。在所謂的“緊急情況”中，這一伎倆屢屢成功。

虛假的“團隊協作”

近年來，復雜的語音釣魚攻擊也顯著增多。例如，黑客組織Black Basta會利用合法的Microsoft Teams登錄信息來博取信任，通過“Helpdesk”“Support Team”或“Helpdesk Manager”的身份發起Teams通話。

攻擊者冒充企業內部IT人員，引導受害者使用 Windows 內置的“Quick Assist”應用。由于這是合法工具且不會觸發安全警告，其行為更具迷惑性。隨后，他們會誘導受害者輸入組合鍵“Ctrl + Windows鍵 + Q”來生成遠程訪問碼。

這樣，攻擊者即可遠程接管受害者電腦，并進一步提升權限，在系統間橫向移動。在某個案例中，短短幾天內，攻擊者就從整個環境中竊取了數TB數據。

安全管理者能做什么

要讓員工完全避免落入復雜的社交攻擊陷阱，難度極大。但通過技術與人員管理結合，仍能降低成功攻擊的可能性：

? 限制通信范圍：Teams和Zoom都提供僅允許與受信任域名或組織通信的選項。雖然實施和維護需要時間，但這是非常有效的措施。

? 控制遠程訪問：一些攻擊者利用視頻會議應用自帶的遠程功能。Zoom和Teams均可設置是否允許外部參與者在通話中遠程訪問屏幕。企業應根據自身需求仔細審查這些功能并合理配置。

? 實施條件式訪問：條件訪問是強化訪問控制的關鍵，其本質是“如果…那么…”的邏輯。例如：如果用戶想訪問某個資源，就必須進行某個操作;如果要使用Microsoft 365，就必須完成多因素認證。安全團隊可根據地理位置、用戶類型、應用或令牌保護策略來限制訪問。

歸根結底，所有安全措施的目標都是降低爆炸半徑，即減少單個被攻陷賬戶可能造成的潛在損害。無論攻擊者如何行事，最終目標幾乎都指向企業的敏感數據。因此，員工保護與安全意識建設必須從這一點切入。