想要确保社会工程攻击成功,威胁行为者要么必须提出一个答案非常私密的问题,要么必须命令目标执行一个非法操作。而两位研究人员的方法就是能够检测电子邮件中的问题或命令。它会对请求私密数据的问题,和/或请求执行安全操作的私人命令进行标注。
在将问题归类为“私密”( private)的过程中,他们的工具不需要知道问题的答案,而是可以通过语句中使用的主要动词和宾语来对其整体含义进行评估。例如,“发送金钱”的命令就可以总结为动词+对象(宾语)——“发送+金钱”的形式。
将电子邮件中检测到的“动词+宾语”组合,与已知的用于描述禁止动作的“动宾”黑名单进行比较,就可以得出命令是否为恶意的。Harris和Carlsson还随机选择了一些网络钓鱼电子邮件,进行识别训练,同时,,他们还考虑到了每个单词的同义词,以最大限度避免出现误归类的情况。
在解释为什么“动宾”组合对需要通过网络钓鱼电子邮件中获取黑名单时,研究人员表示,开展此类工作的部分困难就是获取示例攻击。为了确保检测精准度,研究人员已经使用了超过187,000个网络钓鱼和非网络钓鱼电子邮件来测试他们的方法。
展望未来,该团队计划将他们的桌面工具扩展到电子邮件和聊天客户端,以扫描社会工程攻击。他们还希望能够扩大自己的技术,以完善对高度个性化攻击的检测。
网络钓鱼电子邮件通常是采用“广撒网”的方式,其文本内容对每个人都是通用的,不具备针对性和个人化特征。而真正个性化且危害更深的攻击,可能是某人正在通过电话来交谈关于你的事情,电话那头的威胁行为者可以根据具体谈话内容调整自己的对话内容。这种攻击显然更难以检测和识别。
据悉,这两位研究人员将在2018黑帽大会(Black Hat 2018)上演示他们用于检测社会工程攻击的方法,并发布该工具,以便与会者可以对该工具进行测试。
利用社会工程学渗透银行
