本次论文分享的主题为:欺诈电话的模拟测试研究,研究人员主要来自美国马里兰大学、亚利桑那州立大学以及罗彻斯特理工学院。近些年,电话诈骗现象愈发猖獗。对于安全研究人员,深入理解受害用户上当受骗的原因至关重要。在该项研究工作中,研究人员设计了一套完善的电话钓鱼诈骗方法,面向3000名大学教职工进行了模拟电话钓鱼诈骗研究。研究发现,经过篡改的具有欺骗性质的来电显示内容,可诱使受害者泄露用户敏感信息,如社会保障号码(SSN码)等。论文发表于网络安全领域顶级学术会议USENIX Security 2019(录用率113/729 =15.5%)。该工作获得了2019年度USENIX Security杰出论文奖(Distinguished Paper Award Winner)。

01【研究背景】

近年来,利用诈骗短信以及欺诈电话等手段对互联网用户实施网络钓鱼的现象屡见不鲜。根据2018年美国联邦贸易委员会发布的报告,电话欺诈安全事件的规模在最近几年大幅增加。具体来说,全国拒收电话登记处(National Do Not Call Registry)累计收到了超过578万个关于电话欺诈的投诉[1]。

同其他形式的网络钓鱼攻击相比,电话诈骗可以同时从视觉和听觉两个方面诱使受害用户上当受骗。在视觉上,攻击者可以通过篡改来电显示内容以冒充受害者熟悉的朋友或家人;在听觉上,攻击者可使用具有欺骗性的语音内容来诱导受害用户。

综合近年来的相关研究,作者发现之前研究人员很少关注为何互联网用户会陷入电话诈骗的陷阱中。显而易见,深入理解电话诈骗活动背后的规律可以为今后设计出更具有针对性的安全防御方案提供重要支撑。文章作者通过研究证实了电话钓鱼在以上方面容易诱使受害用户上当的结果,系统性梳理了影响电话诈骗活动成功率的潜在因素。

02【实验设计】

作者为深入分析电话诈骗活动背后的规律,首先系统性梳理了电话诈骗的潜在影响因素,接着设计了模拟电话诈骗的实验,对不同因素如何影响电话诈骗的成功率进行比较性分析。值得一提的是,作者在实验设计中充分考虑了道德伦理方面的影响,具体讨论内容详见论文原文。

(1)影响因素

来电者区号:来电区号隐含了来电者所属的地理位置信息。一般来说,恶意欺诈者通常会使用202区号或者免费区号。文章在模拟实验中,选取了不同类型的来电显示区号,分别包括202(华盛顿特区)、800(免费电话)和480(大学所在地的区号)。

来电者姓名伪造:恶意欺骗者可以伪造一位已知熟人的来电显示,通过一些社会工程学来分析社交网络信息,来达到了解受害用户的手机联系人信息的目的。出于道德的原因,本次实验使用的是作者在大学的服务部门中创建的联系人电话号码,并将一个听起来合法的名字与该电话号码联系起来。

来电者声音:为了测试机器人合成声音与人类声音对电话诈骗成功率的影响,文章实验中分别使用了机器人合成声音和事先录制好的声音。

来电者性别:为了判断来电者的性别是否会对电话诈骗产生影响,文章实验分别尝试了男性和女性的声音对欺诈内容进行机器合成。

来电者口音:通常来说,互联网用户可能会对陌生的口音更为警惕。为了测试口音是否会对电话诈骗的成功率产生影响,实验中分别采用了印度和美国的口音。

来电者假冒实体:有针对性的电话欺诈活动,往往具有更高的成功率。在真实诈骗案例中,冒充国税局和人力资源部门的现象非常普遍。文章实验中伪造了一个虚假的人力资源部门。

恐吓场景与奖赏场景:作者发现,借助税务诉讼、工资问题或信用卡验证等相关场景实施电话诈骗的案例非常普遍。这种场景通常是基于恐吓或是奖赏,文章在模拟实验中对每个被实验人员分别设计了一个基于恐吓和奖赏的场景。

(2)实验设计

由于论文实验考虑的影响因素种类较多,且每种影响因素的具体设定可能有多个取值,如果严格使用控制变量方法,对每种变量取值组合设置一组对照实验,作者共需进行384组实验,这对一个面向真实用户的实验来说是很难操作的。

因此,论文选取了在真实诈骗通话中最为常见的情况:“一位合成声音为男性的诈骗者,使用区号为202的、缺省来电者姓名的电话号码,带着美国口音打来诈骗电话,仿冒国税局,用税收诉讼诱导用户上当受骗” 作为基础对照组,各类因素影响的显著性通过对基础对照组修改设置、构造相应的对照组进行验证。全部的10组对照实验设置如图表1所示。

图表1:实验具体细节及影响因素表

(3)实验流程

论文研究过程中利用自动拨号软件模拟发起欺诈电话,并收集用户的会话过程。实验的详细程序如图表2所示(右图为中文翻译)。该程序有几个步骤需要受害用户的输入。

图表2:实验流程程序

首先,当受害用户接收到模拟欺诈电话时,屏幕会显示来电号码。图表3显示了来电屏幕的例子,左下图没有来电者姓名,而右下角显示的来电者姓名则是W-2 Administration,冒充税务管理。一旦电话被接听,安全研究人员就开始播放预先录制的语音提示信息。

研究人员通过现实世界中所收集的真实电话欺诈内容,精心设计了四种类型的语音提示信息,分别包括:税务诉讼、无人认领的报税表、发放奖金以及代扣工资。

图表3:实验来电画面

语音提示信息结束后,会要求用户按下“1”以继续下一步的操作。随后进一步要求用户输入社会保障号码的后四位数字(类似于国内的身份证号码)。事实上,为了减少对用户的潜在影响,实验中并没有记录社会保障号码信息,而是仅记录用户是否存在输入信息的行为。最后,安全研究人员会告知用户上述过程是一次模拟欺诈的过程。此外,安全研究人员还会向用户进一步询问,究竟是是何种因素影响了用户对此类欺诈电话的判断。

03【主要发现】

在进行实验之前,作者还和大学的IT安全小组合作。IT安全小组会提供有助于减轻被实验用户担忧的信息。研究发现,在3000名测试用户中,8.53%的用户在听完预先录制的模拟电话欺诈语音提示后选择继续通话、4.93%的被测用户输入了社会保障号码信息、1.17%的用户明确表示他们被骗了、1.23%的用户明确表示他们没有被骗。

图表4显示的是实验期间按1键继续接收电话的接收者数量。第一天,和IT部门合作的实验数据为左半部分图所示,然而从第二天开始,学校的伦理审查委员会收到了一些关于诈骗电话实验的投诉,导致实验从第二天开始暂停了大约12个小时,等待委员会审查对投诉进行审查。第二到四天,受伦理审查委员会影响后的实验数据如右半部分图所示。

图表4:实验期间按“1”键继续接收电话的接收者数量

实验共分为了10个对照组,记为E1-E10。每组实验的详细结果见图表5与图表6。作者对收集到的数据使用线性回归和统计假设检验进行分析。

图表5:所有实验对象的相关数据信息

图表6:被骗输入真实社会保障号码信息的受害用户数量

本次实验中的数据的对比假设检验方法均采用右尾p值假设检验方法。

比较不同区号的实验:经过假设检验方法验证后得到的结论是,使用免费区号很有可能比使用华盛顿特区的区号成功率更高,区号对电话钓鱼诈骗的攻击成功率可以产生统计学上的显著影响。

比较使用不同实体场景的实验:经过假设检验方法验证后得到的结论是,得到的结论为冒充熟悉的内部场景或是事件对电话钓鱼骗局的攻击成功率有显著影响。

最后,针对比较奖励或恐吓类型的实验、使用不同类型的语音的实验、使用不同性别声音的实验、使用不同口音的实验以及显示来电者姓名不同的实验来说,通过假设检验方法验证数据,得出的结论是无法确定是否对电话钓鱼骗局的攻击成功率有显著影响。

04【结论】

针对欺诈电话的钓鱼攻击问题,研究人员设计了一套电话钓鱼诈骗的方法并开展了模拟电话欺诈实验,对所收集的数据进行了统计分析。作者模拟了10个电话钓鱼诈骗的实验,对3000位相关大学教职员工进行了测试,并利用线性回归和统计假设检验方法对数据结果进行了分析。最终发现,篡改区号、冒充相关的内部活动等手段最容易让受害用户被欺骗,而如人声、女声、本地口音、来电者姓名伪造以及基于恐吓的骗局虽然也能提高诈骗的有效性,但却无法证明它们有显著的效果。

原文链接

https://www.usenix.org/conference/usenixsecurity19/presentation/tu

参考文献

[1] Federal Trade Commission, “National Do Not Call Registry Data Book for Fiscal Year 2018,” 2018.

仓永康弘,编辑&审校|刘保君、张一铭

声明:本文来自NISL实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。