近年来,随着数字化转型加速,企业对云端服务和远程办公的依赖日益加深,身份安全成为信息安全领域的重中之重。然而,伴随着身份验证技术的不断进步,攻击者们同样演化出新型的入侵手法,呼叫中心诈骗(Help Desk Scams)便是一种典型且高效的攻击路径。Scattered Spider这一臭名昭著的威胁组织正是利用这种诈骗方式对多家跨国企业发起攻击,造成了巨大的经济和声誉损失。呼叫中心诈骗的核心在于通过社会工程学技巧,冒充受害者身份,诱导客户服务人员重置账户敏感信息,进而实现账户接管。具备一定内部信息——例如部分个人身份信息(PII)甚至密码——的攻击者,以其流利的目标语言沟通能力,成功说服帮助台操作人员开放权限,篡改多因素认证(MFA)设置,从而绕过传统安全防线。Scattered Spider自2022年以来多次使用该战术成功攻陷众多重量级目标,包括Twilio、LastPass、Riot Games、Coinbase等科技巨头,更在近年卷入大小不同规模的重大安全事件,如英国零售巨头Marks & Spencer和Co-op遭遇大规模入侵,导致数亿英镑的损失。
此次攻击揭示了呼叫中心诈骗不仅仅是个别事件,更是后MFA时代威胁者身份攻击的重要手段。攻击者通常先通过公开渠道搜集目标员工的相关信息,在LinkedIn、社交媒体等平台获取职位、联系方式等线索,利用语音伪装和心理操控技巧,冒充公司内IT人员或目标账户持有人,直接联系第三方或外包呼叫中心。通过种种巧妙话术,比如声称新购手机需要迁移MFA、多次变更联系电话等,诱使帮助台重置账户权限,将身份验证链接转发到攻击控制的邮箱或手机。此后,通过自助密码重置门户,借助已篡改的多因素认证因素完成账户入侵。极其令人担忧的是,这类诈骗攻击目标多为高权限账户,一旦攻破,攻击链大幅缩短,恶意行为如数据窃取、部署勒索软件迅速展开,给企业带来毁灭性打击。从2023年8月黑客成功侵入Caesars酒店集团,赢得1500万美元赎金,到2023年9月MGM Resorts数TB敏感数据外泄,影响数千万美元经济损失,再到2024年Transport for London个人银行信息泄露事件,均暴露出呼叫中心诈骗的危机深远且频繁。
企业IT安全部门常设的帮扶台操作流程表面上严密,实则存在诸多漏洞。一刀切的账户重置机制抹杀了风险差异化感知,导致攻击者通过掌握的少量个人信息即可完成权限越界。且不少帮助台为追求客户响应速度及服务质量,往往忽视身份核验流程或缺乏针对高危操作的多级审批,进一步加剧了安全隐患。此外,外包乃至离岸呼叫中心的普遍趋势,也为社会工程攻击提供便利。缺乏对人员身份的严格管理和培训,增加了员工容易被欺骗的风险。针对这类威胁,企业需深刻理解呼叫中心诈骗的本质,实现身份安全防护的多维度提升。
首先,应构建差异化风险评估机制,对于高权限账户的操作申请,实施多方审批、离线身份验证,甚至要求必须进行现场核实,避免信息变更操作的流程流于简单化。其次,提升帮助台员工的安全意识,开展定期社会工程学防范培训,使员工能识别典型话术和异常请求。加强监督和审计,建立异常操作即时告警机制,及时阻断潜在攻击。与此同时,企业还应加强对多因素认证系统的设计,采用基于硬件的WebAuthn/FIDO2认证,避免SMS或APP推送通知的薄弱点。实施细粒度的权限管理,限制高权限账户登录范围与操作时间,减少被滥用的风险。数据访问与系统操作日志应纳入持续的安全监控,利用行为分析发现异常。
Scattered Spider的攻击手法并非孤立,他还依赖包括短信钓鱼(Smishing)、SIM卡交换、MFA疲劳攻击以及先进的中间人钓鱼套件(AiTM)等多种身份攻击技术。企业必须建构综合的身份安全策略,采用多层次、动态防御体系,避免过度依赖单一防护机制。技术手段结合人员培训、流程优化和安全文化建设,才能有效抵御类似Scattered Spider的后MFA身份攻击者。此外,提升对云环境监控能力尤为重要。云服务的日志体系相较传统环境更加复杂且分散,攻击者通常利用云日志篡改、混淆攻击行为,掩盖威胁踪迹。组织应完善云安全策略,实现日志完整性保护与实时入侵检测,确保攻击行为及时被发现和响应。
同时,勒索软件攻击仍是Scattered Spider攻击链的终极阶段。攻击者入侵VMware环境,将管理员权限账户植入核心虚拟化层,绕过传统端点检测与响应(EDR)工具,直接控制物理服务器宿主机,执行加密和破坏操作。对虚拟化环境的安全防护措施必不可少,需加强权限分离、账户安全和多因素认证,限制单点故障。综上所述,企业面对呼叫中心诈骗及由Scattered Spider引领的身份攻击,需将身份安全置于战略高度,推行全员安全意识提升,持续优化帮助台流程。引入技术创新,采用多因子认证升级方案,构建跨部门协作的安全生态系统。以身份为中心的安全姿态,不仅能抵御当前复杂多变的攻击,更为未来的数字资产保护奠定坚实基础。
随着攻击手段不断演进,唯有综合防御,加强人员、流程与技术建设的协同发力,企业才能在数字化时代安全航行,守护宝贵的信息资产不受威胁。
