针对真人攻击者的定向电话诈骗研究

### 针对真人攻击者的定向电话诈骗研究 在当今数字化时代，社会工程学攻击层出不穷，电话诈骗作为其中一种常见形式，给人们的生活和财产安全带来了严重威胁。本文将深入探讨针对真人攻击者的定向电话诈骗研究，包括相关假设、数据集、实验过程、伦理法律问题以及攻击脚本等内容。 #### 1. 研究假设 在研究中，我们定义了一个自变量——信息目标，它描述了攻击期间所请求的私人信息。基于此，我们提出了以下两个假设： - **备择假设 H1,2**：自变量信息目标会影响攻击的成功率。 - **原假设 H0,2**：自变量信息目标对攻击的成功率没有影响。 此外，考虑到人们随着时间可能会忘记“意识培训”的内容，我们还研究了攻击意识随时间的变化。我们预计个体可能会随着时间推移失去攻击意识，因此攻击的成功率将取决于攻击延迟，即个体意识到潜在攻击与攻击实际发生之间的时间间隔。相应的假设如下： - **备择假设 H1,3**：自变量攻击延迟会影响攻击的成功率。 - **原假设 H0,3**：自变量攻击延迟对攻击的成功率没有影响。 #### 2. 社会工程学数据集 我们提供了 186 个攻击电话的录音及其文字记录，作为公开可用的数据集，供研究电话诈骗的研究人员使用。每个录音都获得了参与者的明确许可。这个数据集可以作为成功和不成功的社会工程学攻击的示例。尽管每个电话仅基于 27 个攻击脚本之一，但由于受害者不可预测的反应，电话之间存在显著差异。我们除了提供电话的文字记录外，还提供了音频文件，以便研究人员可以检查电话的韵律内容。 #### 3. 电话诈骗与电子邮件诈骗的比较 本研究专门关注电话诈骗，而非电子邮件钓鱼诈骗。许多使用钓鱼电子邮件进行的研究以及相关数据集已经存在，但这些研究和数据集不能充分代表基于电话的攻击的特性。钓鱼研究在代表电话诈骗方面存在以下局限性： |局限性|详情| | ---- | ---- | |通信元数据|电子邮件包含作为通信协议一部分产生的大量元数据（如标题、页脚、嵌入式 URL 链接），可用于检测钓鱼。但这些信息在短信和电话通信中差异很大，在面对面通信中则完全不存在。许多钓鱼检测方法通过分析电子邮件元数据来确定实际来源与声明来源不同，从而实现高精度和准确性，但这些方法不适用于非电子邮件通信。| |单向、无上下文通信|现有数据库中的钓鱼电子邮件都显示攻击者向受害者的单一通信，不显示攻击者与受害者之间的对话。即使在导致对话的钓鱼攻击中，现有数据库中的钓鱼电子邮件也是单独的，没有提供上下文。而通过短信、电话或面对面发起的社会工程学攻击几乎总是涉及攻击者与受害者之间的对话，整个通信序列的上下文可能包含识别攻击的关键信息。| |基于文本与口头通信|基于文本的通信仅依赖文本传递信息，而口头通信可以利用语音的特性（韵律）来传递信息。因此，人们在文本和语音中编码信息的方式不同。例如，在口头对话中可以通过语气捕捉讽刺感，而在基于文本的对话中可能需要使用表情符号。| #### 4. 实验过程 为了确定各种基于电话的社会工程学攻击的有效性，我们进行了一系列实验。每个参与者在加入研究后的 3 个月内会接到一个诈骗电话，每个诈骗电话只请求一条个人身份信息（PII）。如果参与者提供了 PII 数据，则该电话诈骗被视为成功；否则视为失败。如果参与者在有机会提供答案之前挂断电话，或者提出的问题迫使攻击者显著偏离脚本，则该电话也被视为失败。但如果参与者明确请求协助提供所请求的私人数据（如“我如何找到我的 IP 地址？”），则脚本的偏离是可以接受的。 如果参与者没有接听电话，我们会在接下来的 5 个工作日内最多拨打 5 次以建立联系。如果在 5 次尝试后参与者仍未接听电话，则将其从研究中剔除，其结果不纳入研究。 实验过程的主要困难在于准确性和道德性这两个主要目标之间的内在冲突。为了准确确定攻击的有效性，需要对毫无戒心的参与者进行欺骗性攻击；但为了使实验符合道德，对参与者的欺骗必须在实验需求和研究益处方面有充分的理由。在设计这些实验时，我们参考了网络与安全伦理反馈小组的建议，以确保在保持道德性的同时实现准确性。 实验的具体步骤如下： 1. **吸引自愿参与者**：我们通过在校园张贴海报、在课堂上宣布以及在校园学生团体的 Facebook 页面上发布公告等方式招募参与者。目标人群主要是校园学生，并为参与提供价值 15 美元的亚马逊礼品卡作为经济补偿。 2. **获得知情同意**：在发起攻击之前，我们向参与者告知实验的欺骗性质并获得他们的同意。具体来说，我们告知受试者我们会试图欺骗他们，并且电话将被记录用于分析。我们还告知他们电话内容将进行 PII 编辑后发布。 3. **发起攻击**：在受试者加入研究后的三个月内的某个时间，我们发起攻击。攻击通过电话进行，每个攻击都被记录下来。 4. **事后说明**：攻击结束后，当参与者仍在电话上时，立即告知他们之前的对话实际上是作为研究一部分进行的攻击，无论攻击是否成功。如果参与者在攻击完成前挂断电话，则稍后通过电子邮件与他们联系进行事后说明。 #### 5. 伦理和法律问题 为了获得研究的机构审查委员会（IRB）批准，并确保研究结果的有效性，我们解决了一系列问题，以确保研究合法且符合道德，同时实现评估一组合成社会工程学攻击有效性的预期结果。 - **法律问题**：实验中使用欺骗手段需要考虑州和联邦禁止此类欺骗的法律。影响我们研