生物行为识别技术在社工诈骗中的应用分析与探索

VSole2021-07-04 16:04:04

1 什么是社工诈骗?

人为因素才是安全的软肋,有意、无意的行为可造成潜在的威胁或者一连串的后果。2021年DBIR数据泄露报告(Data Breach Investigations Report)中提到85%的数据泄露涉及人的因素。社工攻击正是利用人的因素,引导操纵人们采取行动或泄露机密信息,以达到收集信息、欺诈或访问系统等目的的“骗局”。

“社会工程诈骗”(SEF)是指诈骗者利用社工手段,获得个人的信任,并“欺骗”他们分享机密信息,甚至将资金直接转移给攻击者。SEF严重依赖于人际互动,受害者通常不知道发生了什么。利用社工攻击进行诈骗,一直屡见不鲜,带来的损失也是逐年增长。

2 社工诈骗类型

社工诈骗攻击其实在工作和生活中很常见,比如莫名收到“亲友或领导”电话或“XX公司”的邮件,要求提供私密信息、转账等。随着攻击手段的发展,社工诈骗攻击的手法也发生着变化,出于不同的阶段性目标或者实时性角度,存在几种典型的方式:

  • 静态凭证收获:是一般比较常见的离线攻击手段,比如网络钓鱼、电话钓鱼、短信钓鱼,欺骗受害者自愿交出证件或敏感信息。
  • 陷阱欺骗:是一种近实时的攻击手段,攻击者通过提供某种形式的帮助,诱骗受害者在PC或移动设备上安装远程访问工具。
  • OTP收集:一般是实时进行攻击,如通过电话进行诈骗,收集OTP,并立刻使用,进行注册或支付。
  • 深度社工:一般是实时进行攻击,利用语音诈骗,诱使用户直接把钱转给骗子。

3 生物行为识别技术

生物行为识别技术通常可用于分析利用恶意软件、机器人活动、远程接管账号等方式进行的未经授权用户或进程更改计算机操作的行为。人在与人、设备交互过程中,都有其特定的、可识别的方式,生物行为特征可以识别不符合已识别模式的异常行为,如诈骗者行为模式。以下是三个例子:

  • 应用程序熟悉度异常:欺诈者使用受损害的身份反复攻击一个站点,通常对站点及其应用程序流程表现出熟悉,操作流畅,这是普通用户所不具备的。
  • 操作快捷性:由于任务性质,诈骗者攻击并试图包含成百上千的账户,诈骗者经常使用高级计算机技能(很少在普通用户中见到),诸如键盘快捷键和功能键等。因此,节省时间和加快过程的技能可能是欺诈活动的标志。
  • 数据输出流畅性:普通用户可以从长期记忆中快速说出个人信息,如姓名、电话号码、地址和信用卡信息,而诈骗者往往不得不依赖短期记忆,表现在输入这些信息时,从时间上存在差异。这也是区分诈骗者与合法用户的标志。

这种生物行为识别技术方法能够在账户设置过程中实时识别潜在的欺诈者。

4 社工诈骗分析与检测

针对社工诈骗,其防护策略除了从管理和意识上进行培训、学习提升之外,也可以从技术上进行加强。不同的社工方式,其检测思路不同。对于钓鱼社工,可通过暴露的域名、样本等进行威胁特征分析。但是,对于一些隐蔽性较高的社工诈骗攻击,如电话语音诱导转账诈骗,这类手段通常缺少明显的威胁特征,难以识别。

社工诈骗本质上是对身份认证的盗用,以达到恶意的目的。通过生物行为识别技术,采用基于风险的持续身份认证,逐步分析用户行为的风险,以识别诈骗操作。生物行为识别技术综合用户实体行为分析和生物特征识别技术,从不同维度,对用户身份和行为进行持续检测,得出风险值。利用机器学习、弱信号评分累加等方式,融合各维度弱的身份识别风险值,分析识别高可信的诈骗操作。其主要框架如下图所示。

持续的风险分析依赖于IP信息、4A信息、PIN、短信,以及用户个人行为等信息。利用这些信息,从不同级别进行风险分析,识别潜在异常风险。

  • User-level检测:分析用户出现了新类型用户行为,不符合历史习惯,例如,对于父辈,所接触的线上支付一般多以移动端进行支付为主,PC端支付较少。当某次支付采用PC端支付,则可表现为异常。
  • Population-level检测:分析用户的行为在频次上出现异常变化,例如,用户转账频次超过日常次数、转账对象从未出现过,均不符合历史转账的行为。
  • Biometrics-level检测:从用户的生物行为特征上表现出来的差异,来分析异常行为。例如,利用键鼠行为(击键频率、击键时间间隔分布等)进行身份识别和行为确认。

这些潜在的异常风险,能够刻画出用户在不同维度下的异常行为。通过进行机器学习或者评分累计的方式,综合这些不同级别的弱检测信息,分析社工诈骗攻击,可提高识别的可信度。

5 利用击键行为的身份识别探索

2021RSA大会上有学者的报告中指出,用户在注意力不专注的情况下,相比日常操作,操作按键生物行为存在差异。

通过用户击键行为特征进行身份鉴别,一种典型思路如下图所示。收集键鼠操作行为,训练检测模型。随后,随实时数据分批次进行检测,并融合检测结果,输出身份识别风险值。

在日志监测过程,当发现高风险评分的身份正在进行交易时,则存在被欺诈的风险。

6 总结

社工诈骗攻击是一种典型的攻击方式。结合用户的生物行为特征进行异常检测,可强化对社工诈骗行为的识别。如何在传统检测方法的基础上,融合不同级别用户行为特征,更精准的刻画用户行为,识别各类社工诈骗攻击,是一个需要持续探索的方向。

社工行为识别
本作品采用《CC 协议》,转载必须注明作者和本文链接
社工攻击正是利用人的因素,引导操纵人们采取行动或泄露机密信息,以达到收集信息、欺诈或访问系统等目的的“骗局”。
本报告通过六张实战推演图,结合安全能力者、第三方机构和安全运营者的观点,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护、强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战演习的全景对象和步骤推演。
正是由于它真正披上了如真人般的外衣,ChatGPT自问世以来就迅速火爆全球。截至2023年1月底,ChatGPT月活用户数突破1亿,成为全球用户增速最快的爆款应用之一。当ChatGPT碰到未经大量语料训练的专业领域问题,给出的答案往往并不能回答实际问题,同样,也不具备人类擅长的引申能力。任务自动化ChatGPT 有望进一步加强脚本、策略编排、安全报告的自动化,比如为渗透测试报告编写修复指南。
API是支撑线上应用连接和数据传输的关键。
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人
工业互联网安全的落地第一步,是确保工控环境中的防护能力,之后是检测/审计能力。本次《工业互联网安全能力指南》的发布内容为报告中的工控防护能力部分,以及工控检测/审计能力部分。
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留。查看下pid所对应的进程文件路径,
在钓鱼攻击中,攻击者可以使用ChatGPT生成虚假电子邮件或消息,更好地伪装成受害者所信任的个人或组织,从而获取受害者的个人信息。这种行为对个人和组织的信息安全构成威胁。ChatGPT可以用于监控文本和消息内容本身,自动化检测机器生成内容,保护用户的信息和隐私,采取措施来限制ChatGPT的滥用,以确保其在网络安全领域的积极作用。
VSole
网络安全专家