生物行為識別技術(shù)在社工詐騙中的應(yīng)用分析與探索
責(zé)編:gltian |2021-07-01 14:21:021?什么是社工詐騙?
人為因素才是安全的軟肋,有意、無意的行為可造成潛在的威脅或者一連串的后果。2021年DBIR數(shù)據(jù)泄露報告(Data Breach Investigations Report)中提到85%的數(shù)據(jù)泄露涉及人的因素。社工攻擊正是利用人的因素,引導(dǎo)操縱人們采取行動或泄露機密信息,以達(dá)到收集信息、欺詐或訪問系統(tǒng)等目的的“騙局”。
題-2.jpg)
“社會工程詐騙”(SEF)是指詐騙者利用社工手段,獲得個人的信任,并“欺騙”他們分享機密信息,甚至將資金直接轉(zhuǎn)移給攻擊者。SEF嚴(yán)重依賴于人際互動,受害者通常不知道發(fā)生了什么。利用社工攻擊進(jìn)行詐騙,一直屢見不鮮,帶來的損失也是逐年增長。
題-21.jpg)
2?社工詐騙類型
社工詐騙攻擊其實在工作和生活中很常見,比如莫名收到“親友或領(lǐng)導(dǎo)”電話或“XX公司”的郵件,要求提供私密信息、轉(zhuǎn)賬等。隨著攻擊手段的發(fā)展,社工詐騙攻擊的手法也發(fā)生著變化,出于不同的階段性目標(biāo)或者實時性角度,存在幾種典型的方式:
- 靜態(tài)憑證收獲:是一般比較常見的離線攻擊手段,比如網(wǎng)絡(luò)釣魚、電話釣魚、短信釣魚,欺騙受害者自愿交出證件或敏感信息。
- 陷阱欺騙:是一種近實時的攻擊手段,攻擊者通過提供某種形式的幫助,誘騙受害者在PC或移動設(shè)備上安裝遠(yuǎn)程訪問工具。
- OTP收集:一般是實時進(jìn)行攻擊,如通過電話進(jìn)行詐騙,收集OTP,并立刻使用,進(jìn)行注冊或支付。
- 深度社工:一般是實時進(jìn)行攻擊,利用語音詐騙,誘使用戶直接把錢轉(zhuǎn)給騙子。
3?生物行為識別技術(shù)
生物行為識別技術(shù)通常可用于分析利用惡意軟件、機器人活動、遠(yuǎn)程接管賬號等方式進(jìn)行的未經(jīng)授權(quán)用戶或進(jìn)程更改計算機操作的行為。人在與人、設(shè)備交互過程中,都有其特定的、可識別的方式,生物行為特征可以識別不符合已識別模式的異常行為,如詐騙者行為模式。以下是三個例子:
- 應(yīng)用程序熟悉度異常:欺詐者使用受損害的身份反復(fù)攻擊一個站點,通常對站點及其應(yīng)用程序流程表現(xiàn)出熟悉,操作流暢,這是普通用戶所不具備的。
- 操作快捷性:由于任務(wù)性質(zhì),詐騙者攻擊并試圖包含成百上千的賬戶,詐騙者經(jīng)常使用高級計算機技能(很少在普通用戶中見到),諸如鍵盤快捷鍵和功能鍵等。因此,節(jié)省時間和加快過程的技能可能是欺詐活動的標(biāo)志。
- 數(shù)據(jù)輸出流暢性:普通用戶可以從長期記憶中快速說出個人信息,如姓名、電話號碼、地址和信用卡信息,而詐騙者往往不得不依賴短期記憶,表現(xiàn)在輸入這些信息時,從時間上存在差異。這也是區(qū)分詐騙者與合法用戶的標(biāo)志。
這種生物行為識別技術(shù)方法能夠在賬戶設(shè)置過程中實時識別潛在的欺詐者。
4?社工詐騙分析與檢測
針對社工詐騙,其防護(hù)策略除了從管理和意識上進(jìn)行培訓(xùn)、學(xué)習(xí)提升之外,也可以從技術(shù)上進(jìn)行加強。不同的社工方式,其檢測思路不同。對于釣魚社工,可通過暴露的域名、樣本等進(jìn)行威脅特征分析。但是,對于一些隱蔽性較高的社工詐騙攻擊,如電話語音誘導(dǎo)轉(zhuǎn)賬詐騙,這類手段通常缺少明顯的威脅特征,難以識別。
社工詐騙本質(zhì)上是對身份認(rèn)證的盜用,以達(dá)到惡意的目的。通過生物行為識別技術(shù),采用基于風(fēng)險的持續(xù)身份認(rèn)證,逐步分析用戶行為的風(fēng)險,以識別詐騙操作。生物行為識別技術(shù)綜合用戶實體行為分析和生物特征識別技術(shù),從不同維度,對用戶身份和行為進(jìn)行持續(xù)檢測,得出風(fēng)險值。利用機器學(xué)習(xí)、弱信號評分累加等方式,融合各維度弱的身份識別風(fēng)險值,分析識別高可信的詐騙操作。其主要框架如下圖所示。
題-22.jpg)
持續(xù)的風(fēng)險分析依賴于IP信息、4A信息、PIN、短信,以及用戶個人行為等信息。利用這些信息,從不同級別進(jìn)行風(fēng)險分析,識別潛在異常風(fēng)險。
- User-level檢測:分析用戶出現(xiàn)了新類型用戶行為,不符合歷史習(xí)慣,例如,對于父輩,所接觸的線上支付一般多以移動端進(jìn)行支付為主,PC端支付較少。當(dāng)某次支付采用PC端支付,則可表現(xiàn)為異常。
- Population-level檢測:分析用戶的行為在頻次上出現(xiàn)異常變化,例如,用戶轉(zhuǎn)賬頻次超過日常次數(shù)、轉(zhuǎn)賬對象從未出現(xiàn)過,均不符合歷史轉(zhuǎn)賬的行為。
- Biometrics-level檢測:從用戶的生物行為特征上表現(xiàn)出來的差異,來分析異常行為。例如,利用鍵鼠行為(擊鍵頻率、擊鍵時間間隔分布等)進(jìn)行身份識別和行為確認(rèn)。
這些潛在的異常風(fēng)險,能夠刻畫出用戶在不同維度下的異常行為。通過進(jìn)行機器學(xué)習(xí)或者評分累計的方式,綜合這些不同級別的弱檢測信息,分析社工詐騙攻擊,可提高識別的可信度。
5?利用擊鍵行為的身份識別探索
2021RSA大會上有學(xué)者的報告中指出,用戶在注意力不專注的情況下,相比日常操作,操作按鍵生物行為存在差異。
題-23.jpg)
通過用戶擊鍵行為特征進(jìn)行身份鑒別,一種典型思路如下圖所示。收集鍵鼠操作行為,訓(xùn)練檢測模型。隨后,隨實時數(shù)據(jù)分批次進(jìn)行檢測,并融合檢測結(jié)果,輸出身份識別風(fēng)險值。
題-24.jpg)
?
在日志監(jiān)測過程,當(dāng)發(fā)現(xiàn)高風(fēng)險評分的身份正在進(jìn)行交易時,則存在被欺詐的風(fēng)險。
6?總結(jié)
社工詐騙攻擊是一種典型的攻擊方式。結(jié)合用戶的生物行為特征進(jìn)行異常檢測,可強化對社工詐騙行為的識別。如何在傳統(tǒng)檢測方法的基礎(chǔ)上,融合不同級別用戶行為特征,更精準(zhǔn)的刻畫用戶行為,識別各類社工詐騙攻擊,是一個需要持續(xù)探索的方向。
來源:FreeBuf.COM
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧