建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 技术前沿 » 正文

这家公司利用蜜罐技术捕获社会工程骗局

来源:2017-04-05 | 人围观 | 评论:暂无评论

研究公司ZeroFOX发现,除非公司有官方招聘账户,否则求职者很难区分合法账户与假冒账户。

识别冒牌货的方法之一,是他们通常提供Gmail、雅虎和其他免费电子邮件服务地址,供求职者咨询岗位和发送简历(更高级点儿的诈骗犯还能伪造公司电子邮件域名)。有些还包含了链向官方求职网站和领英的链接供跟进。大多数情况下,冒牌货使用公司标志将自己标榜成公司的官方招聘人员。

冒牌货一旦收到邮件,要么从中抽取个人身份识别信息(PII),要么索要报名费。有些公司注意到了招聘诈骗,在其网站上提请求职者防范使用非官方公司电邮地址的骗子。

ZeroFOX创建了蜜罐账户,与冒牌货交流,在沙箱环境中对 40,000个虚假账户进行调查,观察该社会工程攻击。该研究公司得以借此剖析这类攻击,识别出其中的异同点,并更清楚地理解其背后的各种动机。

社交媒体不再仅仅是个人通信工具,而已进化成了关键业务应用——帮助公司大幅提升利润和生产力,同时强化和发展客户关系。随着公司企业对社交媒体的依赖越来越深,网络罪犯对社交媒体的利用也越来越多了。

2014年12月到2016年12的两年时间里,恶意假冒者的总数增长了11倍。ZeroFOX采用一套综合了机器学习、自然语言处理、图像识别和其他数据科学技术的方法,希望能测量出假冒者资料和真实账户资料间的相对相似度。

近半数(48.1%)恶意社交媒体假冒者,将其载荷伪装成虚假优惠券或赠品,利用公司品牌引诱贪便宜的人。超过1,000名假冒者在其名称、昵称和描述中,使用了塑造信誉的词汇,比如“官方”、“可靠”、“真实”、“授权”、“合法”等等。

我们的数字生活中,假装他人身份从事恶意活动没有任何代价。公司企业无论规模大小,总是处在经济和信誉损失的高风险中。社交媒体和数字安全,如今已成公司保护自身及客户的关键任务,想不沦为安全、隐私、信誉和盈利漏洞的受害者,社交媒体和数字安全必须保证。

社交网络已在对抗冒牌货问题上迈出第一步:验证账户,提示用户正在互动的账户是合法的。这与网站使用数字证书经受验证,以及浏览绿色器高亮URL的做法异曲同工。但该方法并未提供恶意账户的任何提示。社交网络依靠用户报告和人工筛选,来识别和响应这些账户。该方法跟不上假冒账户创建与删除的速度。

社交网络上的虚假账户问题是系统性的,假冒战术多种多样。主动狩猎这些账户需要复杂的层次化方法,要使用账户验证、威胁检测和机器学习。

这一方法可以线性集成使用,驱动大规模跨网络分析,改善检测准确性。机器学习分类器可以报告这些针对个人或企业的威胁。然后,公司可以采用更主动及时的方式挫败威胁,要求关停账户,缓解风险。

ZeroFOX分享了观测到的一些陷阱设置场景:

从产品投诉,到账户安全问题,到未投递的包裹,客户通过直接提及公司社交媒体账户,公开表达他们的不满。公司则以成立快速响应团队负责处理此类客户质询予以回应。但公司企业并非唯一这么做的。假冒者攫取了客户对这些支持账户的固有信任。

除了蓝色认证标记,真实账户和假冒账户间的差别,真的细微到人眼分辨不出来。客户在网上发出自己真实银行账户和所遇到的问题,就已清楚标识了自己的身份,假冒者只需使用这些公开发布的信息,便可坐等受害者上钩。

另一个常见例子,是瞄准军方人员和退役老兵的冒充者。从收集到的数据中可以看到,1,047个冒充者在其名称、昵称和描述中使用了军事相关的词汇,比如“军方”、“海军”、“陆军”、“空军”、“海军陆战队”、“北约”等等。冒充者试图渗透军方人员的社交媒体圈,盗取个人和敏感信息。

有些假冒者通过承诺消费券、小礼品凭证和其他虚假优惠活动,收获关注和点赞。大多数情况下,他们要求被@,或者附上电邮地址或照片转发。收获关注可使他们扩大在社交媒体上的影响力——所谓的名声培育。

圈粉的价值有3重:

1. 粉丝越多,账户信誉越高

为点赞提供虚假促销和得到大量关注之间,存在反馈环路。大量关注会增加账户的信誉,高信誉意味着更多的关注。这些账户一直圈粉,直到有能力去干点什么恶意的大事件。

2. 今天是粉丝,明天就是受害者

在没有公然恶意行为的情况下,长期积累下粉丝群,那么当这些账户突然大开杀戒的时候,粉丝们也往往不容易起怀疑。网络罪犯可能会开始直接给粉丝发消息,或者发布更公然的恶意内容,比如伪装成录用书的网络钓鱼链接,或者披着竞赛外衣的恶意软件。

3. 强壮的账户可用于出售

诈骗犯、垃圾邮件发送者,还有网络罪犯,会为预建了粉丝群的账户开出高价。打造和销售这些账户的行为,被称为“账户转手”,是社交媒体网络犯罪经济中一种利润可观的必备技能。

公司企业应关注此类战术,因为传统上对事件的损失分析中,并未包含有对品牌信誉的深远影响评估。这些攻击针对的是品牌的客户基础,特别是那些有意参与进来的客户。公司应从单个客户价值的角度评估这些攻击,而不仅仅是攻击的直接经济损失。

付费推广

网络罪犯确保自身攻击被广大潜在受害者看到的另一途径,是使用付费推广,也就是将网络钓鱼链接撒向更广的受众范围。推广,是提供给社交媒体营销员的一项服务,可以向粉丝之外的用户展示广告。这也是大多数社交网络的盈利基础。骗子使用该方法要承担极大的风险,因为社交网络会在发布之前进行审查,如果认定其目的是恶意的,很有可能就把骗子的整个账户给封了。骗子必须投入额外的时间和经历,确保他们推广的内容能够骗到该网络的审查机制。

左图中,一家网站以难以置信的折扣在Instagram上促销仿冒太阳镜。那家网站用真品标志售卖假货。骗子愿意支付的金额越高,网络对那广告的投放力度就越大。

假冒者逃避社交网络检测的方法技术很多。最流行的一个,是创建账户,但休眠相当长一段时间才开始活动。重新沉寂下来的速度也可以很快。原因可能有三:

1. 老账户信誉更高

用户粗略检查账户性质的时候,注册时间是个很重要的考量。用户觉得真的大牌账户肯定已经存在很久了。对骗子来说,这就意味着,让账户“变老”,可以让账户看起来更真。在混时间的过程中,该账户还不能被检测到。于是,始作俑者们让账户空置在那儿,安安静静攒资历。

2. 休眠账户更容易躲过检测

网络罪犯经常清空账户规避检测。清空账户有助于掩盖攻击者踪迹,避免攻击间隙被检测到。

3. 账户可能刚被卖掉

账户买卖很常见。网络罪犯可以买下与打算冒充的品牌很像的休眠账户。账户一旦转手,便会恢复生机,开始扩散其攻击活动。

隐秘方法

真实的推特用户@verified贴出了一个URL,告诉用户怎样验证他们的账户。其假冒者利用了同样的默认图标,相似的背景图,还有欺骗性的@HeIpSupport用户名——用大写的“i”换掉了小写的“l”,俩字母长太像,不仔细看分不出来。该账户休眠了4年,然后开始网络钓鱼,但现在基本就是发帖和集赞,粉其他用户,回粉类似的恶意URL扩散账户。

在Facebook上,验证骗局不仅针对“页面”,还针对“资料”。页面是公司或组织用来做宣传的,资料则是个人用户所用。真正的验证账户,用户名旁边有蓝色徽章。而该账户名是“验证你的账户”,还有验证服务的广告。页面上的帖文指示受害者下载链入的带JavaScript代码的文本文件。

另一种情况,坏蛋指示受害者在其Facebook页面上,打开火狐浏览器的开发者控制台。幸运的是,Facebook切实警告了使用该控制台运行Javascript的危险。如果用户忽略了该警告,他们会被指示将JavaScript代码粘贴进控制台。该JavaScript会捕获用户的Facebook会话cookie,是一种常用的账户劫持手段。另外,该代码利用劫持的会话给多个页面点赞,并在脚本中收录这些账户。

零售商成为目标

零售商也是诈骗目标。虚假礼品卡、优惠券和促销假冒者可从集券者处渔猎信息,提供可变幻成恶意软件的折扣代码,甚至从虚假手机App生成可用的礼品卡号。

零售骗局分发链接,重定向用户到参加页面,然后收获姓名、地址、邮箱、生日和其他PII。就算遵循了注册指南,也永远不会收到参加确认信息的。相反,这些页面还会弹出很多带恶意软件的对话框,最终将用户导引至抽取数据的网站。

其他假冒者账户仅仅简单地要求输入邮箱地址并转发。一旦录入,该邮箱便被卖给垃圾邮件列表了。用户通常会被鼓励输入联系人信息以换取根本无法兑现的卡。另外,作恶者可以将这些信息与haveibeenpwned之类网站上曝光的账户列表进行比对。社交网络账户也可被仔细分析,从中抽取拼凑出用户的帖子、爱好、宠物等可用于口令猜测的信息。

金融服务公司是诈骗重灾区,比如快贷骗局、在家工作骗局、破卡密等等。金融诈骗犯劫持银行标志来让自己的服务看起来很官方。他们监视合法银行在社交媒体上的页面,随时注意有没有新用户粉上账号。一旦新粉出现,诈骗犯立即@他们,咨询用户是否想要赚点外快。然后,假冒者直接用私信跟用户交流,低调行骗。不过,该行为也不是完全隐藏的,最初的帖子是公开的,包括被假冒的银行也能看到。

另一个场景,骗子提供多家银行的快贷服务,只要他们留下电话号码。大量恶意活动通过私信或线下进行,特别难以检测。

骗子的目标,是有严峻经济需求的人群,通常会贴上什么“帮助”、“贷款”,甚至“单身妈妈”之类的话题标签。军方人员和假日购物者也是他们的目标,而且是利润丰厚的优质目标。通常,最终都是银行吞下这些诈骗的苦果,综合多个平台,每年可能高达数亿的损失。

 

标签:蜜罐  社会  工程  ZeroFOX
Top