深度社会工程学攻击,你了解多少?
(NB:此篇文章,是RSA2021会议上一篇文章的翻译和总结。这篇总结发表于绿盟科技2021/07的期刊中,以伏影实验室的名义。所以,如要转载,请注明出处!!!)
1. 深度社会学攻击特点解读
BioCath公司在RSA2021会议上带来了一场精彩的演讲。演讲人从福尔摩斯红发会的故事讲起,引发了对社会工程学(Social Enginnering)的讨论,并进一步探讨了关于深度社会工程学攻击的课题。
2.网络安全与社会工程学
结合网络安全来定义社会工程学:
从心理学的角度触发,密谋一场精心的骗局,诱使目标人物泄露机密信息,已达到收集信息,欺诈或访问用户系统等目的。而社会工程学的运用通常是复杂骗局中必不可少的步骤之一。
目前,在社会工程学的范畴下,网络安全可能会遭受的攻击类型分为以下四种:
- 静态的机密信息收集(Static Credentials Harvesting): 钓鱼攻击,语音钓鱼攻击,短信钓鱼攻击。 这类攻击会诱骗受害者主动地泄露机密信息,如个人信息,银行信息等敏感内容。
- RAT陷阱(RAT Traps): 在攻击前,攻击者会诱导受害者在其个人电脑或移动手机上安装远程控制工具(RAT)。
- OTP的手机与用户的分心:通过电话诈骗收集OTP以供立即使用。例如,木马MITB,就旨在分散用户注意力和收集OTP。
- 深度社会工程学攻击:与传统的社会工程学攻击不同,深度社会工程学攻击,看起来是一个更完美的骗局,让受害者浑然不知,从心理上认识不到自己已深陷骗局之中。其真正的目的是使受害者将资金直接转给欺诈者。
3. 标准的社会工程学攻击
随着网络的发展,以及电子金融的普及,越来越多的网络骗局已经转向电子银行,其最终的目的都是使用各种手段来骗取受害者的财产。但是,对于前三种社会工程学的攻击,从一些细节上是可以识别正常和非正常的操作。例如,下图中的两个例子,是在登录页面,正常操作和不正常操作所带来的差异,具体表现为鼠标移动的轨迹和付款流畅程度等:
正常操作下登录网银:
鼠标移动的轨迹流畅且连续,键盘用于输入OTP,所有的行为与账户的基准是匹配的。
非正常操作下登录网银:
鼠标的移动轨迹出现跳跃,卡顿或中断,付款存在异常(因为远程控制你的攻击者可能在不同的国家)。
尽管这些离线的社会工程学攻击是无法直接检测的,但是我们可以通过用户级别和总体级别别的而异常来检测欺诈,如从鼠标移动的轨迹,滚轮滚动方式与时间,键盘删除信息的方式,选择国家的方式等。
4. 深度社会工程学攻击
深度社会工程学攻击,是一种全新的骗局。2019年首次在英国出现,后来逐渐蔓延到欧洲,澳洲以及北美洲各地。
我们可以从一些细微的痕迹上来观察用户在遭受这种攻击时,所表现出的一些不寻常的行为。
例如,受害者停留在银行的页面上时间过长,鼠标会有过长的时间来回移动,且从行为上疑似用户不知道要干什么。因为在整个过程中,攻击者不断地利用语言去营造一个故事,让受害者去相信自身并不是在一个骗局中,所以受害者的行为看起来是分心的,并不不是专注在银行的页面上。并且,在最终点击提交的按钮上,受害者的行为显得极为犹豫。
攻击者采用电话语音时,在正常的情况下,语音的总体音量是平稳的,不会出现大的改变。但是在深度社会工程学攻击下,语音会出现波动。根据BioCath公司的分析,因为用户要记录目的账号,所以手机经常会从耳边移动到不同的位置。如下图所示:
从用户输入信息(如账号等)的时间上,我们可以发现一些不同。总体时间上,用户的输入所用时间比正常情况下的要长,因为用户需要听写对方给予的新账号。
同样,还有一些细微的行为可以看出用户的犹豫和不安。例如,点击提交按钮的时间,以及在交易后,用户频繁地滚动鼠标滚轮。如图所示,滚动滚轮的频率远高于正常情况下的次数。
最后,整合多个微弱信号中的不同,通过机器学习,最终去判断是否受到攻击。
5.结语
标准的社会工程学 —— 目前的趋势
- 说服用户在PC / 移动设备上安装远程访问工具。
- 假装自己是银行,诱骗用户通过电话提供OTP码。
- 在木马中使用,已分散用户的注意力和收集OTP。
深度社会工程学攻击 —— 一种全新的为最类型
- 引导用户想犯罪分子汇款。
- 受信任的设备,没有恶意软件 / RAT,没有犯罪的行为。
- 由于这是完全授权的交易过程,因此次不是真正的欺骗行为,但监管机构要求采取行动。
深度社会工程学攻击,你了解多少?相关推荐
- 揭秘6种最有效的社会工程学攻击手段及防御之策
本文讲的是揭秘6种最有效的社会工程学攻击手段及防御之策, 世界第一黑客凯文•米特尼克在<欺骗的艺术>中曾提到,人为因素才是安全的软肋.很多公司在信息安全上投入重金,最终导致数据泄露的原因却 ...
- 2008社工新书《黑客社会工程学攻击》
保留一份以免淡忘了. 这本书写的非常的好,对于想深入了解这门艺术的人看是个不错的选择. --------------部分目录------------------------ 第一章.黑客时代的 ...
- 黑客社会工程学攻击的八种常用伎俩
著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这 个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为, ...
- 渗透测试--3.1.社会工程学攻击
目录 社会工程学攻击 SET介绍 一.建立克隆钓鱼网站收集目标凭证 二.set工具集之木马欺骗实战反弹链接 三.后渗透阶段 1.查看主机系统信息 2.到处用户密码的hash值 3.获得shell控制台 ...
- 社会工程学攻击案例-伪装木马
社会工程学攻击案例-伪装木马 msfpayload 做后门程序 root@bt:~# mkdir /root/example_01 //生成目录,名称为example_01 //将putty软件拷贝到 ...
- 黑客社会工程学攻击2 新书来袭
黑客社会工程学攻击2 黑手不出,谁与争锋!阔别4年,社工尸再现江湖. 2008年 <黑客社会工程学攻击>上市,它是当时国内第一本"社工尸"图书,启智中国式社工黑商.荣获 ...
- SET社会工程学攻击
目录 SET框架结构 钓鱼网站(1-2-3) 默认模板(1-2-3-1) 站点克隆(1-2-3-2) 二维码(1-8) 远控木马(1-4) 参考 总结了网上关于SET的相关文章,合并成了这篇学习笔记 ...
- 社会工程学攻击之网站钓鱼
前言 网络给了我们方便的同时,但也并不总是那么美好.还记得邀请苍蝇到它的客厅做客的蜘蛛吗?还记得帮助蝎子渡河的乌龟吗?这些故事都包含了猎物的天真和猎手的肮脏.互联网也是如此,其中中充斥着诱惑的陷阱.阴 ...
- 什么是社会工程学?如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...
最新文章
- 赠书 | 图灵奖得主杨立昆人工智能十问:AI会统治人类吗?
- Map存值问题的研究
- Tensorflow【实战Google深度学习框架】使用 HDF5 处理大型数据集with TFLearn
- 842. Split Array into Fibonacci Sequence
- mysql max嵌套select_使用嵌套select子式 解决mysql不能叠加使用如max(sum())的问题
- A+B Problem(再升级)
- 【java基础】Eclipse Java注释模板设置详解以及版权声明
- python数据分析的概念_Python数据分析入门篇
- pip源换到国内镜像
- 算法设计——基姆拉尔森计算公式:计算几月几号是星期几
- 虚幻4引擎开发的手游_虚幻4引擎开发 《神佑》手游首次公开
- Convolutional Neural Networks for Sentence Classification(卷积神经网络句子分类)
- 直播系统代码,自行更改导航栏样式
- 实战1 - 空气质量数据的校准
- kubernetes文档翻译
- 2019年第十届蓝桥杯省赛B组真题解析
- pip最新升级不成功的方法讲解
- 【手把手教你】股票可视化分析之Pyecharts(二)
- linux服务篇-DNS服务
- Opencv将两幅或多幅IplImage图像同时并行显示在同一副图像上——程序