機器學習這兩年可謂網絡安全行業的高頻詞，安全專家經常強調機器學習對網絡安全的重要性，但在拉斯維加斯如火如荼舉辦的Black Hat 2017上，賽門鐵克公司的安全研究人員向我們展示了機器學習可能會帶來的安全隱患。

美國當地時間7月26日，賽門鐵克安全響應負責人維賈伊·瑟維爾在Black Hat 2017上演示了威脅攻擊者如何利用機器學習模型提升商務電子郵件攻擊(Business Email Compromise，BEC)的成功率。

電子郵件攻擊必修課：社會工程

BEC詐騙是針對高層管理人員的攻擊。攻擊者依賴社會工程學制作電子郵件，并說服高管短時間進行經濟交易，例如電匯。受害者越相信欺詐電子郵件其實是真實的，攻擊者得手的可能性就越大。

瑟維爾在演示期間指出，這類騙局已經讓400多家組織機構中招，帶來的損失超過30億美元(約合人民幣202億元)。攻擊者會利用人類心理學中的三個弱點：恐懼、好奇、缺乏安全感。

BEC攻擊不需要大量資金投入，攻擊者需要的大多數信息可在互聯網上免費獲取，例如通過Twitter、LinkedIn和Facebook就能全面了解目標的生活。企業網站暴露了企業的組織機構，并公開了高層管理人員的名稱，這些對攻擊者而言均能作為有價值的信息。

瑟維爾表示，一切就在于用戶如何在網絡上展示自己，這類數據可能會暴露用戶的更多信息。

機器學習如何增加BEC攻擊成功率?

為了證明他的觀點，瑟維爾展示了一張Google搜索截圖，輸入的關鍵詞為“首席財務官”+“電子郵箱”。 Google搜索能簡單、有效獲取高管的聯系信息，在某些情況下，高管的電子郵箱地址可以直接從Google搜索結果頁面獲取。

建立攻擊模型

賽門鐵克威脅分析工程師安吉特·辛格解釋了威脅攻擊者如何通過偵察和分析實施BEC攻擊。他指出，攻擊者可以使用機器學習增加入侵和敲詐的成功率，可以幫助攻擊者繞過基于簽名的檢測系統，還可以按照舊數據模式為新數據預測各種結果。除此之外，這些模型還能擊敗其它機器和反垃圾郵件遙測技術。

辛格在演示中展示了如何在攻擊奏效時將發送給BEC目標的電子郵件標記為“成功”，失敗則標記為“失敗”。他的演示包含目標的個人信息(年齡、性別、LinkedIn粉絲數量以及Twitter上的推文......)。

所有這類個人信息被注入訓練模型，可以預測攻擊是否會成功。如果攻擊有效，信息將會被反饋到模型中，并提高未來攻擊的準確性。他們將數據反饋到模型中，以便機器可以學習哪類信息不奏效。

惡意攻擊講究“吉時”

他強調了在BEC攻擊期間，時間相當重要。威脅攻擊者可以利用目標的時間表實施攻擊計劃。當攻擊者了解某人在某個時間正在做的事情，就能更好地規劃何時發送電子郵件或要發送的郵件內容。

辛格舉例說明：一名參加活動的高管在Twitter 上公開了他的日程、演講計劃、旅行計劃，這能說明這名高管何時在參加會議的途中或在工作。

為了讓欺詐電子郵件更具信服力，攻擊者可能會注冊相似的域名。這樣做的成本相當小，并且還能有效誘使個人和組織機構上當。

辛格建議Black Hat參會者回復電子郵件時“保持高度警惕”。互聯網上的公開個人數據能被用來實施社會工程攻擊。當攻擊者開始標注成功和失敗的攻擊時，他們的模型將能更好地確定何時實施攻擊行動最有成效。