生物行為識別技術在社工詐騙中的應用分析與探索
1 什么是社工詐騙?
人為因素才是安全的軟肋,有意、無意的行為可造成潛在的威脅或者一連串的后果。2021年DBIR數據泄露報告(Data Breach Investigations Report)中提到85%的數據泄露涉及人的因素。社工攻擊正是利用人的因素,引導操縱人們采取行動或泄露機密信息,以達到收集信息、欺詐或訪問系統等目的的“騙局”。
“社會工程詐騙”(SEF)是指詐騙者利用社工手段,獲得個人的信任,并“欺騙”他們分享機密信息,甚至將資金直接轉移給攻擊者。SEF嚴重依賴于人際互動,受害者通常不知道發生了什么。利用社工攻擊進行詐騙,一直屢見不鮮,帶來的損失也是逐年增長。
2 社工詐騙類型
社工詐騙攻擊其實在工作和生活中很常見,比如莫名收到“親友或領導”電話或“XX公司”的郵件,要求提供私密信息、轉賬等。隨著攻擊手段的發展,社工詐騙攻擊的手法也發生著變化,出于不同的階段性目標或者實時性角度,存在幾種典型的方式:
- 靜態憑證收獲:是一般比較常見的離線攻擊手段,比如網絡釣魚、電話釣魚、短信釣魚,欺騙受害者自愿交出證件或敏感信息。
- 陷阱欺騙:是一種近實時的攻擊手段,攻擊者通過提供某種形式的幫助,誘騙受害者在PC或移動設備上安裝遠程訪問工具。
- OTP收集:一般是實時進行攻擊,如通過電話進行詐騙,收集OTP,并立刻使用,進行注冊或支付。
- 深度社工:一般是實時進行攻擊,利用語音詐騙,誘使用戶直接把錢轉給騙子。
3 生物行為識別技術
生物行為識別技術通常可用于分析利用惡意軟件、機器人活動、遠程接管賬號等方式進行的未經授權用戶或進程更改計算機操作的行為。人在與人、設備交互過程中,都有其特定的、可識別的方式,生物行為特征可以識別不符合已識別模式的異常行為,如詐騙者行為模式。以下是三個例子:
- 應用程序熟悉度異常:欺詐者使用受損害的身份反復攻擊一個站點,通常對站點及其應用程序流程表現出熟悉,操作流暢,這是普通用戶所不具備的。
- 操作快捷性:由于任務性質,詐騙者攻擊并試圖包含成百上千的賬戶,詐騙者經常使用高級計算機技能(很少在普通用戶中見到),諸如鍵盤快捷鍵和功能鍵等。因此,節省時間和加快過程的技能可能是欺詐活動的標志。
- 數據輸出流暢性:普通用戶可以從長期記憶中快速說出個人信息,如姓名、電話號碼、地址和信用卡信息,而詐騙者往往不得不依賴短期記憶,表現在輸入這些信息時,從時間上存在差異。這也是區分詐騙者與合法用戶的標志。
這種生物行為識別技術方法能夠在賬戶設置過程中實時識別潛在的欺詐者。
4 社工詐騙分析與檢測
針對社工詐騙,其防護策略除了從管理和意識上進行培訓、學習提升之外,也可以從技術上進行加強。不同的社工方式,其檢測思路不同。對于釣魚社工,可通過暴露的域名、樣本等進行威脅特征分析。但是,對于一些隱蔽性較高的社工詐騙攻擊,如電話語音誘導轉賬詐騙,這類手段通常缺少明顯的威脅特征,難以識別。
社工詐騙本質上是對身份認證的盜用,以達到惡意的目的。通過生物行為識別技術,采用基于風險的持續身份認證,逐步分析用戶行為的風險,以識別詐騙操作。生物行為識別技術綜合用戶實體行為分析和生物特征識別技術,從不同維度,對用戶身份和行為進行持續檢測,得出風險值。利用機器學習、弱信號評分累加等方式,融合各維度弱的身份識別風險值,分析識別高可信的詐騙操作。其主要框架如下圖所示。
持續的風險分析依賴于IP信息、4A信息、PIN、短信,以及用戶個人行為等信息。利用這些信息,從不同級別進行風險分析,識別潛在異常風險。
- User-level檢測:分析用戶出現了新類型用戶行為,不符合歷史習慣,例如,對于父輩,所接觸的線上支付一般多以移動端進行支付為主,PC端支付較少。當某次支付采用PC端支付,則可表現為異常。
- Population-level檢測:分析用戶的行為在頻次上出現異常變化,例如,用戶轉賬頻次超過日常次數、轉賬對象從未出現過,均不符合歷史轉賬的行為。
- Biometrics-level檢測:從用戶的生物行為特征上表現出來的差異,來分析異常行為。例如,利用鍵鼠行為(擊鍵頻率、擊鍵時間間隔分布等)進行身份識別和行為確認。
這些潛在的異常風險,能夠刻畫出用戶在不同維度下的異常行為。通過進行機器學習或者評分累計的方式,綜合這些不同級別的弱檢測信息,分析社工詐騙攻擊,可提高識別的可信度。
5 利用擊鍵行為的身份識別探索
2021RSA大會上有學者的報告中指出,用戶在注意力不專注的情況下,相比日常操作,操作按鍵生物行為存在差異。
通過用戶擊鍵行為特征進行身份鑒別,一種典型思路如下圖所示。收集鍵鼠操作行為,訓練檢測模型。隨后,隨實時數據分批次進行檢測,并融合檢測結果,輸出身份識別風險值。
在日志監測過程,當發現高風險評分的身份正在進行交易時,則存在被欺詐的風險。
6 總結
社工詐騙攻擊是一種典型的攻擊方式。結合用戶的生物行為特征進行異常檢測,可強化對社工詐騙行為的識別。如何在傳統檢測方法的基礎上,融合不同級別用戶行為特征,更精準的刻畫用戶行為,識別各類社工詐騙攻擊,是一個需要持續探索的方向。
