尽管有很多的培训和警告，人们仍然会陷入这些简单的社会工程骗局。更糟糕的是，网络犯罪分子仍在“进步”。

员工在检测社交工程骗局时似乎正在降低警惕，也许是因为大流行的持续蔓延，远程工作或信息太多。根据Proofpoint的数据，去年攻击者的社会工程骗局计划比一年前更成功。根据对3，500名专业人士的调查，超过80%的组织在2021年遭受了基于电子邮件的网络钓鱼攻击。这比2020年增长了46%。

斯坦福大学研究人员的一项研究发现，大约88%的数据泄露是由员工错误引起的。近一半的员工（45%）认为分心是陷入网络钓鱼骗局的首要原因，57%的远程工作者承认他们在家工作时会更加分心。点击网络钓鱼电子邮件的主要原因是电子邮件的合法性，或者它似乎来自高级管理人员或知名品牌。

由人为错误引起的违规行为的后果比以往任何时候都要大。Proofpoint在2021年发现了近1500万条网络钓鱼邮件，其恶意软件有效载荷直接链接到后期勒索软件。根据Sophos的数据，到2021年，从勒索软件攻击中恢复所用的平均总成本已经达到185万美元。

为什么员工仍然会陷入同样的老把戏？

安全意识专家表示，员工仍然会陷入五种旧的社会工程骗局。

1.官方外观的电子邮件

谁能抗拒打开一封似乎来自您公司首席执行官的电子邮件？更巧妙的是电子邮件包含标题为“2022年员工加薪和晋升”的链接？是的，人们仍然喜欢那封看起来很官方的电子邮件，其中的消息似乎来自合法来源或你认识的人。

在这样的尝试中，“坏人正试图获取网络钓鱼凭据”。在这种情况下，若要打开文档，“它希望你使用 Office 365 凭据再次登录。如果他们让它足够“多汁”，人们就会打开它。

无论提供什么诱饵，这里的教训是：“为什么你必须再次登录才能打开任何东西？这没有充分的理由”。

2.这是一个免费的USB存储器！

联邦调查局在1月份警告美国企业，通过美国邮政局和UPS发送的假信在某些情况下冒充卫生与公众服务部提供COVID-19信息。两者都包括一个带有恶意软件的USB存储器。

联邦调查局表示，如果插入计算机，USB存储器可能会让黑客访问组织的网络以部署勒索软件。目前尚不清楚是否有任何公司在这些事件中受到损害，但这提醒人们，旧的社会工程骗局仍在。

3.办公室礼品卡骗局

礼品卡骗局仍在流传而且最多产。故事通常是这样的 —— 公司高管需要礼品卡来奖励员工，“这是一个惊喜，所以不要告诉任何人”。但这件事的最终目标是让员工购买卡片，刮掉覆盖代码的银色涂层，然后通过电子邮件发回卡片背面的照片。

安全团队自2019年1月以来已经记录了大约10，300起事件，并且每天在其客户群的数据中看到数百次这样的网络钓鱼尝试。“它仍在继续，很多人正在为之倾倒”。

4.语音信箱

近期，通过电子邮件发送的带有恶意软件的内部语音邮件重新浮出水面，一些员工仍然会坠入陷阱。这只是一个很好的诱饵，这样做的有效性取决于接收端的人员及其部门。一般来讲，工程师不会回复给你语音邮件，但如果你在销售部门，你认为语音邮件可能是订单或潜在客户，你可能会打开它。

收件人应该问问自己，自己的公司是否使用通过电子邮件发送语音邮件的系统。如果是，那么也请你在将鼠标悬停在电子邮件地址上之前，确保它来自已知的发件人。

5.包裹递送有问题

伪造的包裹递送通知已经存在并蓬勃发展了超过15年，Sophos首席研究科学家Chester Wisniewski说。这些网络钓鱼尝试有许多变体，大多数旨在向您收取关税或海关费用，而其他网络钓鱼攻击则旨在让您“使用电子邮件登录以跟踪包裹”，并且凭据被盗。这些通常是根据收件人的地区定制的，并将欺骗DHL，UPS或FedEx等全球物流品牌。

另外还有四个新的社会工程陷阱正在泛滥！

这四种基于旧恶习的新技巧更常见、公然或危险。

1.这是您来自DocuSign的法律文件

一种流行的社交工程骗局，特别是自COVID-19大流行开始以来，是伪装成通过DocuSign签署法律文件的请求的恶意软件。据推测，现在有更多的法律表格正在以数字方式签署，他们会提示你安装某种插件，这实际上是计算机恶意软件，目的是继续查看所谓的文档。

2.应收款账单骗局

在这个骗局中，一名员工（通常是应收账款）会收到一封声称来自公司高管的电子邮件。该消息说他或她想对我们未偿还的应收账款进行研究，并要求收件人发送包括所有欠款的客户和他们逾期时间的列表。接下来，不良行为者创建并注册了一个类似的域名，他们击中了该列表中的每个人。

不良行为者知道欠了多少钱，什么时候欠，付款条件，然后会说，我们只接受付款到这个帐号。不幸的是，由于所有信息都匹配，客户也许就同意了。从各方面来看，这个伎俩都相当有效。但这个骗局特别危险，因为损害不是你的公司，而是所有客户。

3.您的银行账户有问题。单击此处解决问题

网络犯罪分子正在使用网络钓鱼电子邮件来说服目标——您的银行帐户，电子邮件帐户或其他高价值帐户存在问题。该电子邮件包含一个链接，该链接将帮助目标个人解决紧急问题。单击该链接将启动一个 Web 浏览器窗口，然后将他们带到该帐户的登录页面。然后，受害者输入其凭据，收到请求 MFA 代码的预期消息，受害者也会输入该代码。受害者在帐户中没有看到任何错误，认为有关问题的消息是错误的，并关闭了他们用于登录的浏览器窗口或选项卡。

“这是一种新的棘手的方法，可以绕过改进的安全控制（如多因素身份验证），以实现旧的，可靠的社会工程骗局，”KnowBe4的安全意识倡导者Erich Kron说。

4.通过电话进行网络钓鱼

使用电话出现了更新的骗局。被称为BazarLoader的恶意软件冒充像亚马逊这样的品牌，以说服您取消被收取的数百美元的订阅费用。如果您想取消，则需要拨打电话号码与代表交谈。而犯罪分子运营着真正的呼叫中心，他们通过电话指导您如何下载恶意软件并在您的计算机上运行它。其他变体包括类似的诱饵，以取消流媒体视频服务或杂志。

这些攻击永远不会消失，我们需要保持警惕，并在发现骗局时警告他人。安全团队应该让员工在被欺骗时很容易去报告，并明确表示员工不会遇到更多的麻烦。（本文出自SCA安全通信联盟，转载请注明出处。）