聲明:本文所表達的觀點和意見僅代表作者個人觀點,並不代表 crypto.news 編輯部的觀點和意見。
過去一年,加密貨幣領域大多數重大攻擊事件的根源都在於人為因素。僅在過去幾個月裡,Ledger 就曾敦促用戶暫停鏈上活動,原因是 npm 維護者被騙,惡意軟體得以傳播;Workday 披露了一起社交工程攻擊,攻擊者利用該攻擊獲取了第三方 CRM 系統中的數據;此外,與朝鮮有關聯的攻擊者持續利用虛假招聘信息誘騙加密貨幣團隊,從而傳播惡意軟體團隊,從而傳播惡意軟體。
- 加密貨幣並非遭到駭客攻擊,而是被誘導洩漏自身資訊。如今,大多數資料外洩事件並非源自於程式碼漏洞,而是源自於網路釣魚、虛假更新和身分冒用,這使得「人」成為主要的攻擊目標。
- 可程式貨幣會將小錯誤演變成災難性損失。一個洩漏的密鑰或一個被批准的請求都可能瞬間且不可逆轉地耗盡資金,這使得社會工程攻擊成為一種系統性風險,而非用戶失誤。
- 除非將維運安全視為核心基礎設施,否則漏洞利用將持續擴大。審計和代碼審查無法阻止人為欺騙—只有強制執行設備、存取和培訓標準才能做到。
儘管企業在網路安全方面投入了數十億美元,卻仍然屢屢敗給簡單的社會工程攻擊。團隊將大量資金投入技術防護、稽核和程式碼審查中,卻忽略了營運安全、設備維護和基本的人為因素。隨著越來越多的金融活動轉移到鏈上,這種盲點正演變成對數位基礎設施的系統性風險。
減緩社會工程攻擊激增的唯一方法是對營運安全進行廣泛、持續的投資,從而降低這些策略的收益。
社會工程是網路安全的阿基里斯之踵
Verizon 發布的《2025 年資料外洩調查報告》指出,網路安全的「人為因素」(網路釣魚、憑證被盜和日常錯誤)與大約 60% 的資料外洩事件有關。
社會工程攻擊之所以有效,是因為它針對的是人而非程式碼,利用的是信任、緊迫感、熟悉感和慣例。這類攻擊無法透過程式碼審計消除,也很難用自動化網路安全工具進行防禦。程式碼審查和其他常見的網路安全措施無法阻止員工批准看似來自經理的詐欺性請求,也無法阻止他們下載看似合法的虛假 Zoom 更新。
即使是技術高度精湛的團隊也會遭遇不測;人性的弱點普遍存在且根深蒂固。因此,社會工程學仍然是現實世界中安全事件頻繁的根源。
加密貨幣提高了賭注
可程式貨幣會集中風險。在 Web3 中,洩漏助記詞或 API 代幣的後果可能等同於闖入銀行金庫。加密交易的不可逆性放大了錯誤:一旦資金轉移,通常無法撤銷交易。設備安全或金鑰管理方面的任何疏忽都可能導致資產損失。 Web3 的去中心化設計意味著通常沒有客服支持,使用者只能自行解決問題。
包括國家支持的僱傭兵在內的駭客已經注意到社會工程攻擊的有效性,並據此調整了攻擊策略。朝鮮拉撒路集團的行動就大量運用了社會工程手段:虛假招聘信息、惡意PDF文件、惡意軟體包以及利用人性弱點定制的網絡釣魚。
這些攻擊手段驚人地有效且易於實施,科技公司似乎對此束手無策。與零時差漏洞(會迅速修復,迫使駭客尋找新的攻擊策略)不同,駭客能夠反覆自主地利用相同的社會工程策略,從而將更多時間用於攻擊本身,而減少研發投入。
企業需要投資於營運安全。
太多組織仍然將安全視為合規性工作——這種態度又因寬鬆的監管標準而得到強化。許多公司即便存在顯而易見的營運風險,也能通過審計並發布完美無瑕的報告:管理員密鑰存儲在個人筆記型電腦上,憑證通過聊天和電子郵件共享,訪問權限陳舊且從未輪換,以及將出差用的筆記本電腦用作開發機。
要解決這種紀律渙散的問題,需要明確且強制執行操作安全措施。團隊應使用受管設備、強大的終端保護和全盤加密;公司登入應使用密碼管理器和防釣魚的多因素身份驗證 (MFA);系統管理員應謹慎管理權限和存取權限。這些控制措施並非萬無一失,但它們有助於增加社會工程攻擊的難度,並有助於減輕潛在攻擊的影響。
最重要的是,團隊需要投入資源進行營運安全訓練;員工(而非網路安全團隊)才是抵禦社會工程攻擊的第一道防線。公司應該花時間培訓團隊,使其能夠識別潛在的網路釣魚攻擊,養成安全的資料衛生習慣,並了解營運安全規範。
至關重要的是,我們不能指望組織自願採取更嚴格的網路安全措施;監管機構必須介入,制定可強制執行的營運基準,使真正的安全措施成為必要之舉。合規框架不應僅限於文件記錄,而應要求提供安全實踐的實際證據:例如,經過驗證的金鑰管理、定期存取審查、終端加固以及模擬網路釣魚防範。如果沒有監管的約束力,激勵機制將始終傾向於表面功夫而非實際效果。
社會工程學只會越來越糟糕
現在必須加大對營運安全的投入,因為攻擊率正在呈指數級增長。
生成式人工智慧改變了欺騙的經濟格局。攻擊者現在可以大規模地進行個人化、在地化和自動化網路釣魚攻擊。過去只針對單一使用者或企業的攻擊活動,現在只需極少的額外成本就能瞄準成千上萬家企業。只需點擊幾下滑鼠,即可實現網路釣魚攻擊的個人化,融入私密細節,使偽造的電子郵件看起來合法可信。
人工智慧還能加速偵察。公開資訊、洩漏的憑證和開源情報可以被挖掘並匯總成關於每個受害者的“簡報”,幫助駭客制定極具迷惑性的攻擊策略。
減緩攻擊速度
在信任和便利性凌駕於核實和謹慎之上的場合,社會工程攻擊最為猖獗。組織需要採取更具防禦性的姿態,並(正確地)假定自身時刻面臨社會工程攻擊的威脅。
團隊應在日常營運中貫徹零信任原則,並將營運安全原則融入公司各個層面。他們應培訓員工掌握營運安全知識,以便及早阻止攻擊,並使團隊及時了解最新的社會工程攻擊手段。
最重要的是,公司需要找到營運中仍然存在信任的地方(攻擊者可以冒充員工、軟體或客戶的地方),並增加額外的安全措施。
社會工程攻擊不會消失,但我們可以大幅降低其有效性,並大幅減少攻擊造成的災難性後果。隨著業界加強對這類攻擊的防禦,社會工程攻擊對駭客的收益將會降低,攻擊頻率也會下降,最終徹底終結這種令人窒息的攻擊循環。
揚·菲利普·弗里奇博士是Oak Security的總經理,該公司是一家專注於Web3審計的網路安全公司。在加入Oak Security之前,弗里奇博士在計量經濟學和風險建模領域累積了豐富的經驗,曾任職於歐洲中央銀行和德國經濟研究所(DIW Berlin)等機構。他擁有柏林洪堡大學經濟學博士學位。
