声明:本文所表达的观点和意见仅代表作者个人观点,并不代表 crypto.news 编辑部的观点和意见。
过去一年,加密货币领域大多数重大攻击事件的根源都在于人为因素。仅在过去几个月里,Ledger 就曾敦促用户暂停链上活动,原因是 npm 维护者被骗,恶意软体得以传播;Workday 披露了一起社交工程攻击,攻击者利用该攻击获取了第三方 CRM 系统中的数据;此外,与朝鲜有关联的攻击者持续利用虚假招聘信息诱骗加密货币团队,从而传播恶意软体团队,从而传播恶意软体。
- 加密货币并非遭到骇客攻击,而是被诱导泄漏自身资讯。如今,大多数资料外泄事件并非源自于程式码漏洞,而是源自于网路钓鱼、虚假更新和身分冒用,这使得「人」成为主要的攻击目标。
- 可程式货币会将小错误演变成灾难性损失。一个泄漏的密钥或一个被批准的请求都可能瞬间且不可逆转地耗尽资金,这使得社会工程攻击成为一种系统性风险,而非用户失误。
- 除非将维运安全视为核心基础设施,否则漏洞利用将持续扩大。审计和代码审查无法阻止人为欺骗—只有强制执行设备、存取和培训标准才能做到。
尽管企业在网路安全方面投入了数十亿美元,却仍然屡屡败给简单的社会工程攻击。团队将大量资金投入技术防护、稽核和程式码审查中,却忽略了营运安全、设备维护和基本的人为因素。随著越来越多的金融活动转移到链上,这种盲点正演变成对数位基础设施的系统性风险。
减缓社会工程攻击激增的唯一方法是对营运安全进行广泛、持续的投资,从而降低这些策略的收益。
社会工程是网路安全的阿基里斯之踵
Verizon 发布的《2025 年资料外泄调查报告》指出,网路安全的「人为因素」(网路钓鱼、凭证被盗和日常错误)与大约 60% 的资料外泄事件有关。
社会工程攻击之所以有效,是因为它针对的是人而非程式码,利用的是信任、紧迫感、熟悉感和惯例。这类攻击无法透过程式码审计消除,也很难用自动化网路安全工具进行防御。程式码审查和其他常见的网路安全措施无法阻止员工批准看似来自经理的诈欺性请求,也无法阻止他们下载看似合法的虚假 Zoom 更新。
即使是技术高度精湛的团队也会遭遇不测;人性的弱点普遍存在且根深蒂固。因此,社会工程学仍然是现实世界中安全事件频繁的根源。
加密货币提高了赌注
可程式货币会集中风险。在 Web3 中,泄漏助记词或 API 代币的后果可能等同于闯入银行金库。加密交易的不可逆性放大了错误:一旦资金转移,通常无法撤销交易。设备安全或金钥管理方面的任何疏忽都可能导致资产损失。 Web3 的去中心化设计意味著通常没有客服支持,使用者只能自行解决问题。
包括国家支持的雇佣兵在内的骇客已经注意到社会工程攻击的有效性,并据此调整了攻击策略。朝鲜拉撒路集团的行动就大量运用了社会工程手段:虚假招聘信息、恶意PDF文件、恶意软体包以及利用人性弱点定制的网络钓鱼。
这些攻击手段惊人地有效且易于实施,科技公司似乎对此束手无策。与零时差漏洞(会迅速修复,迫使骇客寻找新的攻击策略)不同,骇客能够反复自主地利用相同的社会工程策略,从而将更多时间用于攻击本身,而减少研发投入。
企业需要投资于营运安全。
太多组织仍然将安全视为合规性工作——这种态度又因宽松的监管标准而得到强化。许多公司即便存在显而易见的营运风险,也能通过审计并发布完美无瑕的报告:管理员密钥存储在个人笔记型电脑上,凭证通过聊天和电子邮件共享,访问权限陈旧且从未轮换,以及将出差用的笔记本电脑用作开发机。
要解决这种纪律涣散的问题,需要明确且强制执行操作安全措施。团队应使用受管设备、强大的终端保护和全盘加密;公司登入应使用密码管理器和防钓鱼的多因素身份验证 (MFA);系统管理员应谨慎管理权限和存取权限。这些控制措施并非万无一失,但它们有助于增加社会工程攻击的难度,并有助于减轻潜在攻击的影响。
最重要的是,团队需要投入资源进行营运安全训练;员工(而非网路安全团队)才是抵御社会工程攻击的第一道防线。公司应该花时间培训团队,使其能够识别潜在的网路钓鱼攻击,养成安全的资料卫生习惯,并了解营运安全规范。
至关重要的是,我们不能指望组织自愿采取更严格的网路安全措施;监管机构必须介入,制定可强制执行的营运基准,使真正的安全措施成为必要之举。合规框架不应仅限于文件记录,而应要求提供安全实践的实际证据:例如,经过验证的金钥管理、定期存取审查、终端加固以及模拟网路钓鱼防范。如果没有监管的约束力,激励机制将始终倾向于表面功夫而非实际效果。
社会工程学只会越来越糟糕
现在必须加大对营运安全的投入,因为攻击率正在呈指数级增长。
生成式人工智慧改变了欺骗的经济格局。攻击者现在可以大规模地进行个人化、在地化和自动化网路钓鱼攻击。过去只针对单一使用者或企业的攻击活动,现在只需极少的额外成本就能瞄准成千上万家企业。只需点击几下滑鼠,即可实现网路钓鱼攻击的个人化,融入私密细节,使伪造的电子邮件看起来合法可信。
人工智慧还能加速侦察。公开资讯、泄漏的凭证和开源情报可以被挖掘并汇总成关于每个受害者的“简报”,帮助骇客制定极具迷惑性的攻击策略。
减缓攻击速度
在信任和便利性凌驾于核实和谨慎之上的场合,社会工程攻击最为猖獗。组织需要采取更具防御性的姿态,并(正确地)假定自身时刻面临社会工程攻击的威胁。
团队应在日常营运中贯彻零信任原则,并将营运安全原则融入公司各个层面。他们应培训员工掌握营运安全知识,以便及早阻止攻击,并使团队及时了解最新的社会工程攻击手段。
最重要的是,公司需要找到营运中仍然存在信任的地方(攻击者可以冒充员工、软体或客户的地方),并增加额外的安全措施。
社会工程攻击不会消失,但我们可以大幅降低其有效性,并大幅减少攻击造成的灾难性后果。随著业界加强对这类攻击的防御,社会工程攻击对骇客的收益将会降低,攻击频率也会下降,最终彻底终结这种令人窒息的攻击循环。
扬·菲利普·弗里奇博士是Oak Security的总经理,该公司是一家专注于Web3审计的网路安全公司。在加入Oak Security之前,弗里奇博士在计量经济学和风险建模领域累积了丰富的经验,曾任职于欧洲中央银行和德国经济研究所(DIW Berlin)等机构。他拥有柏林洪堡大学经济学博士学位。
