1 什麼是社工詐騙?
人為因素才是安全的軟肋,有意、無意的行為可造成潛在的威脅或者一連串的後果。2021年DBIR資料洩露報告(Data Breach Investigations Report)中提到85%的資料洩露涉及人的因素。社工攻擊正是利用人的因素,引導操縱人們採取行動或洩露機密資訊,以達到收集資訊、欺詐或訪問系統等目的的“騙局”。
“社會工程詐騙”(SEF)是指詐騙者利用社工手段,獲得個人的信任,並“欺騙”他們分享機密資訊,甚至將資金直接轉移給攻擊者。SEF嚴重依賴於人際互動,受害者通常不知道發生了什麼。利用社工攻擊進行詐騙,一直屢見不鮮,帶來的損失也是逐年增長。
2 社工詐騙型別
社工詐騙攻擊其實在工作和生活中很常見,比如莫名收到“親友或領導”電話或“XX公司”的郵件,要求提供私密資訊、轉賬等。隨著攻擊手段的發展,社工詐騙攻擊的手法也發生著變化,出於不同的階段性目標或者實時性角度,存在幾種典型的方式:
靜態憑證收穫:是一般比較常見的離線攻擊手段,比如網路釣魚、電話釣魚、簡訊釣魚,欺騙受害者自願交出證件或敏感資訊。
陷阱欺騙:是一種近實時的攻擊手段,攻擊者透過提供某種形式的幫助,誘騙受害者在PC或移動裝置上安裝遠端訪問工具。
OTP收集:一般是實時進行攻擊,如透過電話進行詐騙,收集OTP,並立刻使用,進行註冊或支付。
深度社工:一般是實時進行攻擊,利用語音詐騙,誘使使用者直接把錢轉給騙子。
3 生物行為識別技術
生物行為識別技術通常可用於分析利用惡意軟體、機器人活動、遠端接管賬號等方式進行的未經授權使用者或程式更改計算機操作的行為。人在與人、裝置互動過程中,都有其特定的、可識別的方式,生物行為特徵可以識別不符合已識別模式的異常行為,如詐騙者行為模式。以下是三個例子:
應用程式熟悉度異常:欺詐者使用受損害的身份反覆攻擊一個站點,通常對站點及其應用程式流程表現出熟悉,操作流暢,這是普通使用者所不具備的。
操作快捷性:由於任務性質,詐騙者攻擊並試圖包含成百上千的賬戶,詐騙者經常使用高階計算機技能(很少在普通使用者中見到),諸如鍵盤快捷鍵和功能鍵等。因此,節省時間和加快過程的技能可能是欺詐活動的標誌。
資料輸出流暢性:普通使用者可以從長期記憶中快速說出個人資訊,如姓名、電話號碼、地址和信用卡資訊,而詐騙者往往不得不依賴短期記憶,表現在輸入這些資訊時,從時間上存在差異。這也是區分詐騙者與合法使用者的標誌。
這種生物行為識別技術方法能夠在賬戶設定過程中實時識別潛在的欺詐者。
4 社工詐騙分析與檢測
針對社工詐騙,其防護策略除了從管理和意識上進行培訓、學習提升之外,也可以從技術上進行加強。不同的社工方式,其檢測思路不同。對於釣魚社工,可透過暴露的域名、樣本等進行威脅特徵分析。但是,對於一些隱蔽性較高的社工詐騙攻擊,如電話語音誘導轉賬詐騙,這類手段通常缺少明顯的威脅特徵,難以識別。
社工詐騙本質上是對身份認證的盜用,以達到惡意的目的。透過生物行為識別技術,採用基於風險的持續身份認證,逐步分析使用者行為的風險,以識別詐騙操作。生物行為識別技術綜合使用者實體行為分析和生物特徵識別技術,從不同維度,對使用者身份和行為進行持續檢測,得出風險值。利用機器學習、弱訊號評分累加等方式,融合各維度弱的身份識別風險值,分析識別高可信的詐騙操作。其主要框架如下圖所示。
持續的風險分析依賴於IP資訊、4A資訊、PIN、簡訊,以及使用者個人行為等資訊。利用這些資訊,從不同級別進行風險分析,識別潛在異常風險。
User-level檢測:分析使用者出現了新型別使用者行為,不符合歷史習慣,例如,對於父輩,所接觸的線上支付一般多以移動端進行支付為主,PC端支付較少。當某次支付採用PC端支付,則可表現為異常。
Population-level檢測:分析使用者的行為在頻次上出現異常變化,例如,使用者轉賬頻次超過日常次數、轉賬物件從未出現過,均不符合歷史轉賬的行為。
Biometrics-level檢測:從使用者的生物行為特徵上表現出來的差異,來分析異常行為。例如,利用鍵鼠行為(擊鍵頻率、擊鍵時間間隔分佈等)進行身份識別和行為確認。
這些潛在的異常風險,能夠刻畫出使用者在不同維度下的異常行為。透過進行機器學習或者評分累計的方式,綜合這些不同級別的弱檢測資訊,分析社工詐騙攻擊,可提高識別的可信度。
5 利用擊鍵行為的身份識別探索
2021RSA大會上有學者的報告中指出,使用者在注意力不專注的情況下,相比日常操作,操作按鍵生物行為存在差異。
透過使用者擊鍵行為特徵進行身份鑑別,一種典型思路如下圖所示。收集鍵鼠操作行為,訓練檢測模型。隨後,隨實時資料分批次進行檢測,並融合檢測結果,輸出身份識別風險值。
在日誌監測過程,當發現高風險評分的身份正在進行交易時,則存在被欺詐的風險。
6 總結
社工詐騙攻擊是一種典型的攻擊方式。結合使用者的生物行為特徵進行異常檢測,可強化對社工詐騙行為的識別。如何在傳統檢測方法的基礎上,融合不同級別使用者行為特徵,更精準的刻畫使用者行為,識別各類社工詐騙攻擊,是一個需要持續探索的方向。