機(jī)器學(xué)習(xí)這兩年可謂網(wǎng)絡(luò)安全行業(yè)的高頻詞，安全專家經(jīng)常強(qiáng)調(diào)機(jī)器學(xué)習(xí)對(duì)網(wǎng)絡(luò)安全的重要性，但在拉斯維加斯如火如荼舉辦的Black Hat 2017上，賽門鐵克公司的安全研究人員向我們展示了機(jī)器學(xué)習(xí)可能會(huì)帶來(lái)的安全隱患。

美國(guó)當(dāng)?shù)貢r(shí)間7月26日，賽門鐵克安全響應(yīng)負(fù)責(zé)人維賈伊·瑟維爾在Black Hat 2017上演示了威脅攻擊者如何利用機(jī)器學(xué)習(xí)模型提升商務(wù)電子郵件攻擊(Business Email Compromise，BEC)的成功率。

電子郵件攻擊必修課：社會(huì)工程

BEC詐騙是針對(duì)高層管理人員的攻擊。攻擊者依賴社會(huì)工程學(xué)制作電子郵件，并說(shuō)服高管短時(shí)間進(jìn)行經(jīng)濟(jì)交易，例如電匯。受害者越相信欺詐電子郵件其實(shí)是真實(shí)的，攻擊者得手的可能性就越大。

瑟維爾在演示期間指出，這類騙局已經(jīng)讓400多家組織機(jī)構(gòu)中招，帶來(lái)的損失超過(guò)30億美元(約合人民幣202億元)。攻擊者會(huì)利用人類心理學(xué)中的三個(gè)弱點(diǎn)：恐懼、好奇、缺乏安全感。

BEC攻擊不需要大量資金投入，攻擊者需要的大多數(shù)信息可在互聯(lián)網(wǎng)上免費(fèi)獲取，例如通過(guò)Twitter、LinkedIn和Facebook就能全面了解目標(biāo)的生活。企業(yè)網(wǎng)站暴露了企業(yè)的組織機(jī)構(gòu)，并公開了高層管理人員的名稱，這些對(duì)攻擊者而言均能作為有價(jià)值的信息。

瑟維爾表示，一切就在于用戶如何在網(wǎng)絡(luò)上展示自己，這類數(shù)據(jù)可能會(huì)暴露用戶的更多信息。

機(jī)器學(xué)習(xí)如何增加BEC攻擊成功率?

為了證明他的觀點(diǎn)，瑟維爾展示了一張Google搜索截圖，輸入的關(guān)鍵詞為“首席財(cái)務(wù)官”+“電子郵箱”。 Google搜索能簡(jiǎn)單、有效獲取高管的聯(lián)系信息，在某些情況下，高管的電子郵箱地址可以直接從Google搜索結(jié)果頁(yè)面獲取。

建立攻擊模型

賽門鐵克威脅分析工程師安吉特·辛格解釋了威脅攻擊者如何通過(guò)偵察和分析實(shí)施BEC攻擊。他指出，攻擊者可以使用機(jī)器學(xué)習(xí)增加入侵和敲詐的成功率，可以幫助攻擊者繞過(guò)基于簽名的檢測(cè)系統(tǒng)，還可以按照舊數(shù)據(jù)模式為新數(shù)據(jù)預(yù)測(cè)各種結(jié)果。除此之外，這些模型還能擊敗其它機(jī)器和反垃圾郵件遙測(cè)技術(shù)。

辛格在演示中展示了如何在攻擊奏效時(shí)將發(fā)送給BEC目標(biāo)的電子郵件標(biāo)記為“成功”，失敗則標(biāo)記為“失敗”。他的演示包含目標(biāo)的個(gè)人信息(年齡、性別、LinkedIn粉絲數(shù)量以及Twitter上的推文......)。

所有這類個(gè)人信息被注入訓(xùn)練模型，可以預(yù)測(cè)攻擊是否會(huì)成功。如果攻擊有效，信息將會(huì)被反饋到模型中，并提高未來(lái)攻擊的準(zhǔn)確性。他們將數(shù)據(jù)反饋到模型中，以便機(jī)器可以學(xué)習(xí)哪類信息不奏效。

惡意攻擊講究“吉時(shí)”

他強(qiáng)調(diào)了在BEC攻擊期間，時(shí)間相當(dāng)重要。威脅攻擊者可以利用目標(biāo)的時(shí)間表實(shí)施攻擊計(jì)劃。當(dāng)攻擊者了解某人在某個(gè)時(shí)間正在做的事情，就能更好地規(guī)劃何時(shí)發(fā)送電子郵件或要發(fā)送的郵件內(nèi)容。

辛格舉例說(shuō)明：一名參加活動(dòng)的高管在Twitter 上公開了他的日程、演講計(jì)劃、旅行計(jì)劃，這能說(shuō)明這名高管何時(shí)在參加會(huì)議的途中或在工作。

為了讓欺詐電子郵件更具信服力，攻擊者可能會(huì)注冊(cè)相似的域名。這樣做的成本相當(dāng)小，并且還能有效誘使個(gè)人和組織機(jī)構(gòu)上當(dāng)。

辛格建議Black Hat參會(huì)者回復(fù)電子郵件時(shí)“保持高度警惕”。互聯(lián)網(wǎng)上的公開個(gè)人數(shù)據(jù)能被用來(lái)實(shí)施社會(huì)工程攻擊。當(dāng)攻擊者開始標(biāo)注成功和失敗的攻擊時(shí)，他們的模型將能更好地確定何時(shí)實(shí)施攻擊行動(dòng)最有成效。