【安全资讯】社会工程攻击新手法：黑客利用共享邮箱与帮助台漏洞劫持医生薪资

概要：

在网络安全威胁日益复杂的今天，社会工程攻击正以更隐蔽的方式绕过技术防线。Binary Defense安全专家近日披露了一起针对医疗行业薪资系统的精准攻击事件。攻击者并未利用复杂的技术漏洞，而是通过窃取共享邮箱凭证、伪装身份欺骗内部帮助台，最终成功篡改薪资发放账户，窃取医生薪酬。此事件凸显了身份安全作为“新边界”的严峻挑战，以及将薪资系统视为高价值攻击目标的现实风险。

主要内容：

此次攻击始于攻击者利用先前数据泄露中获得的某医疗机构共享邮箱凭证。在成功登录邮箱后，攻击者通过内部邮件信息筛选目标，最终选定一名医生作为伪装对象。随后，攻击者致电机构内部帮助台，谎称自己是该名医生，因账户被锁无法登录而急需为患者进行治疗，从而诱使帮助台员工重置了账户密码和多因素认证（MFA）令牌。

获得账户访问权限后，攻击者并未通过常规邮件系统进行后续操作，而是巧妙地利用了该医疗机构的虚拟桌面基础设施（VDI）进行登录。这使得其所有登录行为在安全工具看来，都表现为来自受信任的内部终端和IP地址的合法用户活动，从而完美绕过了基于异常登录位置或设备的检测策略。

在成功登录薪资系统Workday后，攻击者直接修改了该医生的银行账户和直接存款信息，将薪资转入其控制的账户。整个攻击链条完全避开了电子邮件，纯粹依靠身份劫持和内部流程漏洞。直到医生本人因未收到薪资而提出质疑，该机构才意识到系统已被入侵。

Binary Defense专家指出，此事件标志着一种新的威胁向量：攻击者正从传统的技术漏洞利用，转向针对身份和内部业务流程的“纯社会工程”攻击。防御者需将薪资信息变更视为高风险金融事件，并建立如变更确认机制、临时冻结期及欺诈检测审查等流程，而不仅仅是依赖技术防护。