提高警惕：医疗行业面临的语音钓鱼和社会工程攻击

关键要点

医疗提供组织受到健康与人类服务部（HHS）网络安全协调中心（HC3）的警示，要求他们审查关于语音钓鱼和社会工程攻击的指导，以应对医疗行业内日益增加的成功攻击实例。

HC3指出，过去一年，所有行业的vishing攻击显著增加，主要是由高级持续威胁组织或国家支持的行为者利用语音变换软件，操控受害者下载恶意软件。这些攻击的目标通常是获取敏感信息或传播恶意软件。最近的一起受害者是一家大型组织，其遭受了一起复杂的vishing攻击，使得攻击者能够进入其网络。

语音钓鱼攻击首次由BazarCall/BazaCall引入，最早可以追溯到2021年3月，针对企业网络实施勒索软件攻击。报告显示，2022年第二季度时，混合型vishing攻击的出现增长了625%，其特点是先通过电子邮件接触受害人，然后再进行电话联系。

卫生系统过去曾发生的vishing攻击，曾在2020年9月导致密歇根州的一家健康系统受到侵犯。攻击者假冒员工，试图窃取会员号码和个人健康信息。在该事件中，伪造的电话甚至“伪装”了来电显示，看似来自该机构的真实电话号码。

一旦vishing攻击成功，攻击者可能会凭借用户凭证绕过多因素认证。HC3警告提供者，威胁行为者将继续演化其战术、技术和程序，以实现其网络钓鱼攻击的成功。这表明，这个威胁仍在持续并不断发展。

实际上，近期研究发现了一种利用一系列表情符号（emoji）来进行攻击的方法。HC3指出，虽然该方法需要特定的情境才能奏效，但这展示了威胁景观的不断演变以及检测恶意软件的困难。

HC3提醒医疗实体，需保持对这一不断演变的威胁的警惕，因为社会工程技术仍然是攻击者获取目标组织初始访问权限的有效手段。具体而言，提供者应重视用户意识培训，以有效防范这些策略。

另一份HC3警报于8月9日发布，为医疗机构提供了有关攻击者在该行业使用的社会工程策略的详细见解，包括进一步的vishing指导、深度伪造（deepfakes）、传统钓鱼、鲸鱼钓鱼（whaling）以及商业电子邮件诈骗（business email compromise）。

数据表明，钓鱼攻击是医疗行业面临的常见威胁之一，位居勒索软件之后。在2021年第四季度，钓鱼攻击占医疗行业所有攻击的42%，而漏洞利用攻击占31%。

在医疗及其他大型组织中，识别钓鱼或社会工程攻击变得极为困难，因为沟通量庞大，而“成员并不总是了解彼此的同事”。攻击者利用这些攻击针对提供者，因为医疗行业的工作习惯和整体愿望是提供帮助。

HC3列出了典型的攻击策略，如密码更新或未锁定的计算机，并且还具体针对医疗组织提出了保护建议。以往的研究已经证实，培训与教育确实能降低钓鱼攻击对组织带来的风险。

相关链接：