披露
本文所表达的观点和看法仅代表作者个人,并不代表crypto.news编辑部的观点和看法。
人是安全漏洞的根源
过去一年中,许多加密货币领域最大的安全漏洞都源于同一个根本原因:人。仅在过去几个月,Ledger就曾敦促用户暂停链上活动,因为npm维护者被欺骗,恶意软件包传播;Workday披露了一起社会工程攻击事件,攻击者通过第三方CRM获取了数据;与朝鲜有关的黑客组织继续利用虚假招聘信息针对加密团队传播恶意软件。
尽管在网络安全上投入了数十亿资金,公司仍然屡屡被简单的社会工程攻击所击败。团队在技术防护、审计和代码审查上投入大量资金,却忽视了操作安全、设备卫生和基本的人为因素。随着越来越多的金融活动转向链上,这一盲点成为数字基础设施的系统性风险。
投资操作安全的重要性
减缓社会工程攻击激增的唯一方法是对操作安全进行广泛而持续的投资,以降低这些攻击的收益。根据Verizon 2025年数据泄露调查报告,网络安全中的“人为因素”(如网络钓鱼、被盗凭证和日常错误)大约占数据泄露的60%。
社会工程攻击之所以有效,是因为它们针对的是人,而非代码,利用了信任、紧迫感、熟悉感和日常习惯。这类攻击无法通过代码审计消除,也难以用自动化网络安全工具进行防御。代码审查和其他常见的网络安全实践无法阻止员工批准看似来自经理的欺诈请求,或下载看似合法的假Zoom更新。
即使是高度技术化的团队也会中招;人类的弱点是普遍且顽固的。因此,社会工程攻击仍然导致现实世界中的事件。
Web3中的风险
在Web3中,泄露种子短语或API令牌可能相当于攻破银行金库。加密交易的不可逆性放大了错误的后果:一旦资金转移,通常无法撤回交易。一次设备安全或密钥处理的失误可能会导致资产的损失。Web3的去中心化设计意味着通常没有客服可供联系,用户只能自救。
黑客,包括国家支持的雇佣军,已经注意到社会工程攻击的有效性并相应地进行了调整。与朝鲜的拉撒路集团相关的行动在很大程度上依赖于社会工程:虚假工作机会、恶意PDF、恶意软件包和针对人类脆弱性的定制钓鱼攻击。
安全合规的误区
许多组织仍然将安全视为合规性练习——这种态度受到宽松监管标准的强化。公司通常通过审计并发布无瑕疵的报告,即使在内部存在明显的操作风险:管理员密钥存储在个人笔记本电脑上、凭证通过聊天和电子邮件共享、过期的访问权限从未轮换、旅行用笔记本电脑被重新用作开发机器。
解决这一纪律失效的问题需要明确且强制的操作安全。团队应使用管理设备、强大的终端保护和全盘加密;公司登录应利用密码管理器和抗钓鱼的多因素认证;系统管理员应仔细管理权限和访问。
培训与监管的必要性
最重要的是,团队需要投资于操作安全培训;员工(而非网络安全团队)是抵御社会工程攻击的第一道防线。公司应花时间培训团队识别可能的钓鱼攻击,实践安全的数据卫生,并理解操作安全的最佳实践。
关键是,我们不能指望组织自愿采取严格的网络安全措施;监管机构必须介入并设定可强制执行的操作基准,使真正的安全成为必需。合规框架应超越文档要求,要求提供可验证的安全实践证明:经过验证的密钥管理、定期访问审查、终端加固和模拟钓鱼准备。
应对未来的挑战
现在投资于操作安全至关重要,因为攻击的速度正在呈指数级增长。生成式人工智能改变了欺骗的经济学。攻击者现在可以在工业规模上个性化、本地化和自动化钓鱼攻击。曾经针对单个用户或企业的攻击,现在可以以极低的额外成本针对成千上万的企业。
社会工程在隐性信任和便利性压倒验证和谨慎的地方蓬勃发展。组织需要采取更具防御性的姿态,并(正确地)假设自己始终面临社会工程攻击的威胁。
团队应在日常操作中采用零信任原则,并在公司内部融入操作安全原则。他们应对员工进行操作安全培训,以便及早阻止攻击,并让团队了解最新的社会工程攻击策略。
最重要的是,公司需要找到其运营中仍然存在信任的地方(无论攻击者可以冒充员工、软件或客户的地方),并增加额外的保障。社会工程攻击不会消失,但我们可以在攻击发生时使其变得不那么有效和灾难性。
随着行业对这些攻击的防范力度加大,社会工程攻击对黑客的吸引力将降低,攻击的频率将下降,最终结束这一令人窒息的漏洞循环。
Jan Philipp Fritsche
