洞見RSA 2021｜深度社會工程學攻擊，你瞭解多少？

BioCath公司在RSA 2021會議上帶來了一場精彩的演講。演講人從福爾摩斯-紅髮會的故事，引發了對社會工程學(Social Engineering)的討論，並進一步探討了關於深度社會工程學攻擊的課題。

 

一、網路安全與社會工程學

結合網路安全來定義社會工程學：

從心理學的角度出發，密謀一場精心的騙局，誘使目標人物洩露機密資訊，以達到收集資訊，欺詐或訪問使用者系統等目的。而社會工程學的運用通常是複雜騙局中必不可少的步驟之一。

 

目前來講，在社會工程學的範疇下，網路安全可能會遭受的攻擊型別分為以下四種： 

1. 靜態的機密資訊收集 (Static Credentials Harvesting)

釣魚攻擊 / 語音釣魚攻擊 / 簡訊釣魚攻擊 : 這類攻擊會誘騙受害者主動地洩露機密資訊，如個人資訊，銀行資訊等敏感內容。

 

2. RAT陷阱 (RAT Traps)

在攻擊前，攻擊者會誘導受害者在其個人電腦或移動手機上安裝遠端控制工具(RAT)。

 

3. OTP的收集與使用者的分心

透過電話詐騙收集OTP以供立即使用。比如木馬MITB的功能，旨在分散使用者注意力和收集OTP。

 

4. 深度社會工程學攻擊

與傳統的社會工程學攻擊不同，深度社會工程學攻擊，看似是一個更完美的騙局，讓受害者渾然不知，從心理上認識不到自己已深陷騙局之中。其真正的目的是使其資金直接轉給欺詐者。 

 

二、標準的社會工程學攻擊

隨著網路的發展，以及電子金融的普及。越來越多的網路騙局已經轉向電子銀行，其最終的目的都是使用各種手段來騙取受害者的財產。但是，對於前三種的社會工程學攻擊，從一些細節是可以識別正常和非正常的操作。 例如，下圖中的兩個例子是在登入頁面下，正常操作和不正常操作所帶來差異，具體表現為滑鼠移動的軌跡和付款流暢程度等。

正常操作下登入網銀：

滑鼠移動的軌跡流暢且連續，鍵盤用於輸入OTP， 所有的行為與賬戶的基準是匹配的。

非正常操作下登入網銀：

滑鼠的移動軌跡出現跳躍、卡頓或中斷，付款存在異常（因為遠端控制你的攻擊者可能在不同的國家）。

 

儘管，這些離線的社會工程學攻擊是無法直接檢測的。但是我們可以透過使用者級別和總體級別的異常來檢測欺詐。比如從滑鼠移動的軌跡，滾輪滾動方式與時間，鍵盤刪除資訊的方式，選擇國家的方式等。

 

三、深度社會工程學攻擊

深度社會工程學攻擊，是一種全新的騙局。2019年首次在英國出現，後來逐漸蔓延到歐洲、澳洲以及北美洲各地。

 

我們可以從一些細微的痕跡上，來觀察使用者在遭受這種攻擊時，所表現出的一些不尋常行為。

 

比如，被攻擊者停留在銀行的頁面上時間過長，滑鼠會有過長的時間來回移動，且從行為上疑似使用者不知道要幹什麼 。因為在整個過程中，攻擊者不斷的利用語言去營造一個故事，讓被攻擊者去相信自身並不是在一個騙局中，所以被攻擊者的行為看似是分心的，並不是專注在銀行的頁面上。並且，在最終點選提交的按鈕上，被攻擊者的行為顯得極為猶豫。

 

攻擊者採用電話語音時，在正常的情況下，語音的總體音量是平穩的，沒有出現大的改變。但是在深度社會工程學攻擊下，語音會出現波動。根據BioCath公司的分析，因為使用者要記錄目的賬號，所以手機經常會從耳邊移動到不同位置。如下圖：

 

從使用者輸入資訊（如賬號等）的時間上，我們可以發現一些不同。總體時間上，使用者的輸入所用是時間比正常情況下的要短，因為使用者需要聽寫對方給予的新賬號。

 

同樣，還有一些細微的行為可以看出使用者的猶豫和不安。比如，點選提交按鈕的時間，以及在交易後，使用者頻繁地滾動滑鼠滾輪。如圖，滾動滾輪的頻率遠高於正常情況下的次數。

最後，整合多個微弱訊號中的不同，透過機器學習，最終去判定是否受到攻擊。

 

總結

標準的社會工程學攻擊 ，目前的趨勢

1、說服使用者在PC /移動裝置上安裝遠端訪問工具。

2、假裝自己是銀行，誘騙使用者透過電話提供OTP碼。

3、在特洛伊木馬攻擊中使用，以分散使用者注意力和收集OTP。

深度社會工程學攻擊，一種全新的犯罪型別

1、引導使用者向犯罪分子匯款。

2、受信任的裝置，沒有惡意軟體/ RAT，沒有犯罪的行為。

3、由於這是完全授權的交易過程，因此不是真正的欺詐行為，但監管機構要求採取行動。