Sophos:AI如何有效制止商業電子郵件的禮品卡騙局

禮品卡是詐騙者喜愛用作欺騙受害人金錢的方式,因不受銀行或匯款服務商追蹤交易及防騙保障,只需經電郵或手機傳送的字母數字編碼。而詐騙者只要獲得編碼,便能以優惠價轉手套現禮品卡至本地貨幣,無須經任何可追蹤到他們與禮品卡或受害人關係的文件手續,以及繞過銀行及其反詐騙措施。

正當不少零售商及公司都採取措施壓制詐騙者的行騙手法,例如設立每日禮品卡最高消費上限,但事實上,禮品卡的簡單交易方法正是吸引詐騙者的賣點。禮品卡對任何想購買指定公司產品的顧客就如同現金,並能即時、無痕地在世界每個角落轉移。

禮品卡是詐騙者喜愛用作欺騙受害人金錢的方式。

部分周詳騙局需要詐騙者高度投入執行。例如稅務局詐騙:告訴目標尚未繳交足夠稅款予稅務局(或相關機構),若未能即時補交所需稅款則要被監禁。詐騙者需要花費至少一小時等待目標來電,耐心地引導他們購買禮品卡並把編碼轉交給他們。技術支援騙局需要詐騙者說服目標在他們的電腦安裝遙控管理軟件,並遊說他們購買禮品卡。

另外,詐騙者也採用最簡單的方法:直接請求目標購買。這個方式普遍通過電郵進行,詐騙者會扮演目標對象的上司或同事,然後聲稱急需使用禮品卡。雖然這比稅務詐騙或勒索目標對象電腦的利潤較少,但勝在快捷及簡易。詐騙者可以任意地傳送大量電郵,而只需成功一次就足以大賺一筆。

電郵騙案模式

即使每項騙案的具體細節各有不同,過程步驟一般遵循以下模式:

1. 聯絡人:詐騙者透過電子郵件向多個目標發送簡短的信息,例如「您在嗎?」 或「您現在有空嗎?」有時候,他們亦會運用緊迫字眼的標題如「請回覆!!! 」,令受害目標在思考並意識到受騙前,先從目標手中奪取金錢。 詐騙者正尋找目標並依賴於能夠快速或自發地回應決策者要求的人士。

這是初始BEC電郵假冒並使用緊迫字眼作「請求」的例子。 注意:SophosAI的BEC模型能夠偵測並阻止這類電子郵件騙案。

2. 請求:若目標「合適」並迅速響應請求,詐騙者將隨即索取禮品卡。 詐騙者會編造以下理由:a)需要禮品卡;b)他們自己做不到(在會議中,交通繁忙等)。 如果未能提升緊迫性,他們便會加上:「我緊急需要」或「這非常重要,請告訴我您能夠盡快完成。」

3. 攻擊:目標同意獲取禮品卡後,詐騙者會發送詳細信息,包括購買的特定類型的卡,面額以及指示說明經開支自費或最便利的支付方式。 詐騙者在這階段都會重申「請求」對公司的重要性以及完成工作的緊迫性。

4. 戰利品:目標一旦完成購買禮品卡,詐騙者便會最後一次提高事情緊迫性,要求目標應盡快將卡後編碼發送過去。 目標完成操作後,騙局已結束,並且可能是與詐騙者最後的聯繫。

阻止方法

Sophos結合自然語言處理(NLP)模型及手工設計的功能,以構建高性能的BEC偵測系統。當中的CATBert(可識別文章的微型Bert)模型運用Transformer架構,與支持Google搜索工具的一樣的NLP架構。 Transformer背後的創新關鍵於引入了自我注意機制:網絡的子模組能夠學習文章而不只理解單詞,並且比簡單的模型更分辨出差別,例如與「緊迫性」和「請求某些東西」相關意思。還通過一些電子郵件的其他獨有功能進一步增強這些自我注意機制,包括發件人和收件人是否共享相同的網域,收件人列表大小以及「抄送」人數,而有效檢測BEC騙局,包括禮品卡騙案。

即使以下「聯絡」電子郵件長度很短,SophosAI的系統捕獲並被評為「潛在惡意軟件」。 它包含所有具針對性的BEC活動標誌:一個外部電子郵件地址,上面顯示公司高層管理人員的姓名,以及「緊急情況」標題,並要求立即回應的內文。

雖然較難直接從模型分析中推斷出諸如緊迫感和語氣之類的內容,但能夠使用一種稱為LIME(https://arxiv.org/abs/1602.04938)的技術來檢查模型所發現有關特定電郵內文字的最有用信息 來決定是否釣魚式攻擊。 因此,可以看到該以下模型選擇了“…are available [at] the moment…”序列,高度表明惡意電子郵件,該模型似乎將「緊迫感」與來自外域的電子郵件,作為惡意的關鍵指示。值得注意的是,我們不必訓練模型來偵測「緊急情況」,通過使用Transformer架構以及大量網絡釣魚電郵的示例,CATBERT模型能夠自行識別「緊急情況」的概念並學習與網絡釣魚電子郵件連接。

在這個情況下,目標不幸地回應了該電子郵件,並以「請求」電子郵件的形式立即引發後續跟進,因此當中的機器學習(ML)模型再次將其評為「潛在惡意」。 再一次,BEC攻擊中「請求」階段的所有經典要素都已呈現:索取禮品卡,不能通話的藉口以及對速度和緊迫性的重視。 此時,騙局已被截斷,從而停止了攻擊。

另外,Sophos可以研究模型的LIME輸出,並發現在這種情況下,單詞「 cards 」(尤其是與「 need 」一起使用)會觸發模型的警號。 當中有趣的是,在完全不同文理的情況下(例如「 please sign the birthday cards in the break room 」),「card」一詞幾乎沒有良性或惡意。 這正是自我注意的力量,模型可以在完整電子郵件和我們特定於電子郵件的功能的文理中評估「card」一詞,從而能夠分辨網絡釣魚電子郵件。