什么是假托？

“信任”是“骗子”布下的“陷阱”。假托是指在有针对性的社会工程攻击（例如鱼叉式网络钓鱼、鲸鱼网络钓鱼和商业电子邮件泄露 (BEC)等）中，攻击者获得受害者信任的方式。但网络罪犯（以及传统罪犯）也可能单独使用假托窃取个人或组织的宝贵信息或资产。

威胁行为者经常为受害者制造虚假情况，并冒充可以解决问题的可靠人。在《Social Engineering Penetration Testing》一书中，作者观察到大多数假托由两个主要元素组成：角色和情境。¹

角色是诈骗者在故事中扮演的角色。为了在潜在受害者心目中树立信誉，诈骗者通常会冒充对受害者有权威的人，例如老板或高管，或者冒充受害者倾向于信任的人。这个（虚假）角色可能是同事、IT 人员或服务提供商。一些攻击者可能会试图冒充目标受害者的亲朋好友。

此情况涉及骗子编造的虚假故事的情节—此角色（骗子）要求受害者执行某些操作的原因。具体情况可能十分普遍，例如：“您需要更新帐户信息。”或者，该故事可能非常具体，尤其是当骗子盯上特定的受害者时：“奶奶，我需要您的帮助。”

为了使他们的角色仿冒和情境可信，威胁参与者通常会在线研究他们的角色和目标。这并不难做到。据估计，黑客可以根据来自社交媒体信息源和其他公共资源（例如 Google 或 LinkedIn）的信息编造一个令人信服的故事，这只需经过 100 分钟的在线搜索。

欺骗手段（伪造电子邮件地址和电话号码，以使消息看似来自其他来源）可使假托场景更为可信。或者，威胁参与者甚至可能更进一步并劫持真实人员的电子邮件帐户或电话号码来发送假托消息。甚至，犯罪分子的有些故事会利用人工智能来克隆人们的声音。

假托是很多社会工程计策的关键组成部分，其中包括：

• 网络钓鱼
• 利诱
• 尾随

伪装欺诈在定向网络钓鱼攻击中很常见，例如针对特定个人的“鱼叉式钓鱼”，以及针对拥有敏感信息或系统特权访问权限的高管或员工的“大鱼钓鱼”。

但是，在非定向的“撒网并祈祷”式电子邮件网络钓鱼、语音网络钓鱼（语音钓鱼）或短信网络钓鱼（短信钓鱼）诈骗中，假托也会起作用。

例如，骗子可能会向数百万人发送短信“[此处为全球银行名称]：您的帐户已透支”，以此期望有一部分收件人是该银行的客户，而这些客户中有一部分可能会回复该消息。即使是一小部分受害者，也能让骗子大赚一笔。

在这种类型的攻击中，犯罪分子会用有吸引力但已被感染的诱饵引诱受害者下载恶意软件。诱饵可能是实物，例如装有恶意代码的 USB 闪存盘，并放在公共场所显眼处。诱饵也可以是数字形式，例如免费下载电影的广告，但结果是恶意软件。

诈骗者经常使用伪装欺诈来使诱饵更具吸引力。例如，诈骗者可能会在受感染的 USB 驱动器上贴上标签，以暗示它属于特定公司并包含重要文件。

伪装欺诈也可用于当面诈骗，例如“尾随”。尾随也称为“捎带”，是指未经授权的人跟随授权人员进入需要许可的地点，例如有安保措施的办公楼。诈骗者使用伪装欺诈使他们的尾随尝试更容易成功，例如，冒充送货员并要求毫无戒心的员工为他们打开一扇上锁的门。

据联邦贸易委员会称，假托等冒名欺诈是最常见的欺诈类型；据报告，去年此类欺诈造成的损失高达 27 亿美元。²最常见的部分假托骗局类型包括：

• 帐户更新诈骗
• 商业电子邮件泄露诈骗
• 加密货币诈骗
  
• 祖父母骗局
• 发票诈骗
• IRS 和政府诈骗
• 工作机会诈骗
  
• 婚恋诈骗和社交诈骗
• 假冒安全软件诈骗

在这种网络攻击中，诈骗者假装是某个公司的代表，向受害者报告其帐户存在问题，例如付款信息过期或存在可疑购买。诈骗者会提供一个链接，将受害者带到一个虚假网站，窃取他们的身份验证凭据、信用卡信息、银行帐号或社会保险号。

商业电子邮件泄露 (BEC) 是一种定向社会工程攻击，而它非常依赖于伪装欺诈手段。目前，25% 的 BEC 攻击都是从伪装欺诈开始的。

在 BEC 中，角色是现实生活中的公司高管或高级商业伙伴，对目标拥有权威或影响力。由于诈骗者假装自己是有权势的人，很多目标都会顺从。

“情境”是角色需要帮助完成一项（几乎始终）紧急的任务。例如，“我被困在机场，忘记了支付系统的密码。你能否提醒我一下？”或者“你可以将 XXX,XXX 美元电汇到银行账户 #YYYYY 来支付随附的发票吗？快点，不然他们就会取消我们的服务。”

通过短信、电子邮件、电话甚至 AI 生成的视频来冒充上司，诈骗者往往可诱骗员工泄露敏感信息甚至实施犯罪。

在一起知名案例中，某一预先录制（由 AI 生成）的网络会议以假冒的高层领导发出的指示作为结束，以说服一名员工向攻击者转账 2 亿港元。⁴

年复一年，BEC 始终跻身成本最高的网络犯罪与社会工程技术之列。根据《IBM 数据泄露成本报告》，BEC 造成的数据泄露会给受害组织平均造成 488 万美元的损失。

根据 FBI 互联网犯罪投诉中心的数据，2023 年，BEC 给受害者造成的损失总额接近 29 亿美元。³

诈骗者冒充拥有“必定获利的”加密货币投资机会的成功投资者，将受害者引导至虚假的加密货币交易所，并在此处窃取受害者的财务信息或资金。

在这种诈骗的一种长期变体“杀猪盘”中，诈骗者通过社交媒体与受害者建立关系并获得他们的信任。然后，诈骗者向受害者介绍一个“商机”，引导受害者进入加密货币网站进行存款。该网站甚至可能虚假报告投资价值的收益，但永远无法提现。⁵

与很多社会工程骗局一样，此骗局通常针对老年人。网络罪犯会冒充受害者的孙辈，并假装他们遭遇了某种麻烦（例如，遭遇车祸或被捕）且需他们的祖父母为其寄钱，以便他们支付医院账单或保释金。

目标受害者会收到他们并未订购或使用的服务或产品的对应发票。骗子通常希望受害者点击电子邮件中的某一链接来请求获取更多信息或对此收费发起投诉。然后，诈骗者会要求受害者提供个人身份信息 (PII) 来验证其帐户。而骗子从一开始便是冲着这些私人信息来的。

诈骗者冒充美国国税局 (IRS) 官员、执法人员或其他政府代表，声称目标遇到了某种麻烦。例如他们未能缴税，或者有针对目标的逮捕令。通常情况下，诈骗者指示目标对象付款，以避免被捕、抵押留置权或扣押工资。当然，这笔款项会转入诈骗者的账户。

求职者可能愿意向潜在雇主透露正常的敏感信息。但如果职位描述是虚假的并由诈骗者发布，申请人可能会成为身份盗窃的受害者。

骗子会假装寻求与受害者建立恋爱关系。在赢得受害者的芳心后，骗子通常会索要钱财，以消除他们能相互厮守的某些最终障碍。此类障碍可能为沉重的债务、某一法律义务，甚至是探望受害者所花费的机票费用。

恐吓软件是一种社会工程骗局，它利用恐惧来诱骗人们下载恶意软件、损失金钱或交出个人数据。

可怕的借口可能是虚假的病毒警报、虚假的技术支持或执法诈骗。弹出窗口可能警告受害者在他们的数字设备上发现了“非法材料”，或者在线“诊断测试”可能告诉受害者他们的设备已被入侵，他们需要下载（虚假）防病毒软件进行修复。

与任何其他形式的社会工程一样，阻止假托可能很困难，因为它利用的是人类心理，而不是可以补救的技术漏洞。但组织可以采取几项措施。

• DMARC
• 安全意识培训
• 其他网络安全技术

DMARC 是一种可以防止仿冒的电子邮件认证协议。DMARC 通过分析消息的文本和元数据，找出常见的威胁指标，从而验证电子邮件是否来自其声称的域名。如果发现电子邮件是仿冒的，可以自动将其转移到垃圾邮件文件夹或将其删除。

由于假托操纵人们危害自己的安全，因此培训员工发现并正确应对假托诈骗可以帮助保护组织。专家建议根据现实生活中的假托示例进行模拟，以帮助员工区分假托和同事的合法请求。

培训还可能包括严格身份验证措施的明确协议，例如多重身份验证 (MFA)、处理有价值的信息、批准付款以及在遵守要求之前向假定来源核实请求。

验证方法可能十分简单，比如向声称的发件人发送短信：“这个消息是您发给我的吗？”，或向服务台发送消息：“这看起来像是黑客吗？”财务交易的程序可能包括亲自或通过直接个人联系人来验证传入请求的要求。

电子邮件过滤器可以检测已知伪装欺诈攻击中使用的短语和主题行。“AI 盾牌”结合了 AI 助手和威胁情报，可以分析大量非结构化数据中的异常情况，从而帮助确定潜在的伪装欺诈。

安全网络网关可以防止用户通过钓鱼电子邮件链接进入可疑网站。

如果攻击者通过伪装欺诈获得网络访问权限，端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 平台等网络安全技术可以拦截恶意活动。

针对特定行业的某些法律明确禁止假托行为。1999 年的《Gramm-Leach-Bliley 法案》将针对金融机构的假托行为定为刑事犯罪，从而规定以虚假借口获取客户财务信息的行为已构成犯罪行为。该法律还要求金融机构对员工开展旨在检测并防止伪装欺诈行为的相关培训。

2006 年《电话记录和隐私保护法案》明确禁止使用假托来获取电信提供商持有的客户信息。

美国联邦贸易委员会 (FTC) 最近通过了一项规则，正式禁止冒充任何政府机构或企业。⁵该规则将使 FTC 有权禁止常见的假托策略，例如未经许可使用企业徽标、创建模仿合法企业的虚假网站以及假冒企业电子邮件。