构建欺诈事件的结构化威胁建模框架
大家读完觉得有帮助记得关注和点赞!!!
抽象
欺诈活动正在迅速发展,采用越来越多样化和复杂的方法,对个人、组织和社会构成严重威胁。本文提出了 FIST 框架 (Fraud Incident Structured Threat Framework),这是一种专为欺诈场景设计的创新结构化威胁建模方法。受 MITRE ATT&CK 和 DISARM 的启发,FIST 系统地将社会工程策略、基于阶段的行为分解和详细的攻击技术映射整合到可重用的知识库中。FIST 旨在提高欺诈检测的效率和威胁情报共享的标准化,促进组织和部门之间的协作和统一语言。该框架整合了来自网络安全、犯罪学和行为科学的跨学科见解,解决了欺诈中的技术向量和心理纵机制。这种方法支持对欺诈事件进行精细分析,支持自动检测、定量风险评估和标准化事件报告。该框架的有效性通过真实案例研究得到进一步验证,证明了其在连接学术研究和实际应用方面的价值,并为智能驱动的反欺诈生态系统奠定了基础。据我们所知,FIST 是第一个系统化的开源欺诈威胁建模框架,它统一了技术和心理方面,并免费提供,以促进学术界和工业界之间的合作。
关键词欺诈、威胁建模、社会工程、ATT&CK、网络犯罪、知识共享
1介绍
近年来,数字通信和社交平台的广泛采用推动了欺诈技术的快速发展,受害者不再局限于个人,而是延伸到金融市场的稳定性和政府部门的信誉。与传统的网络安全威胁相比,欺诈越来越依赖于先进的社会工程技术,例如冒充政府机构、客户服务代表或财务顾问,甚至利用 AI 驱动的深度伪造技术。尽管 MITRE ATT&CK 等现有框架为威胁建模提供了重要参考,但它们仍然不足以完全捕获现实世界欺诈的独特社会工程行为和多阶段策略特征,其攻击复杂性现在可与主要网络安全威胁相媲美。
最近的研究强调,迫切需要结构化和可互作的方法来分析、跟踪和预防网络犯罪和欺诈。Sarkar 等人。[3]提出了一个基于 TTP(Tactics, Techniques, and Procedures)的网络犯罪调查框架,涵盖 14 种策略、177 种技术和 303 种子技术,并通过案例研究证明了其有效性。IIT Kanpur 团队进一步开发了可作这些框架的调查工具,从而实现证据跟踪和攻击路径分析[4].与此同时,Alhashmi 等人。[5]对在线欺诈中的漏洞进行了全面分析,整合了心理、行为、技术和环境因素,以提出预防和缓解策略。
尽管取得了这些进步,但大多数现有框架仍然专注于技术漏洞或仅限于高级描述,因此很难在模块化和可扩展的架构中完全捕捉现代欺诈的混合性质。现代欺诈通常涉及动态、多阶段的社会工程和适应性心理纵。虽然存在一些特定领域的欺诈知识库,但它们不提供 ATT&CK、DISARM 或本研究中提出的 FIST 框架中发现的可扩展、基于阶段的建模和系统映射功能。为了解决这一差距,FIST 框架被设计为一个开放、可扩展且经过实证验证的解决方案,作为开源项目发布并由社区持续维护。FIST 致力于提高透明度和合作精神,加速学术研究、实际采用和快速适应新出现的欺诈威胁。它支持自动检测、协作情报共享和持续优化,推动智能反欺诈解决方案的开发,有效满足实际场景的需求。
为了研究和从业者社区的利益,该框架(包括文档和案例研究)将在发布后作为开源公开提供。
2FIST 框架概述
FIST 框架从 MITRE ATT&CK 中汲取灵感[1]缴械[2]和 STIX 的结构化建模范式[6],专为应对欺诈的独特挑战而构建。与之前主要关注网络威胁或虚假信息作的框架不同,FIST 整合了现代欺诈中常见的技术攻击媒介和心理纵策略,例如诱发紧迫感和恐惧、利用亲密关系和利用权威压力。该框架将欺诈生命周期分解为不同的作阶段,重点关注攻击者的目标、资产和多层策略。这种方法促进了模块化扩展和基于案例的应用,促进了跨部门知识共享和因地制宜。
2.1设计原理和结构
FIST 框架的每个阶段都对应于特定的攻击者心态、作目标和一组不同的可观察指标。通过明确映射各种策略和技术(例如 SMS 轰炸、AI 驱动的虚假角色创建和多平台消息传播),FIST 能够精确跟踪攻击路径并识别检测机会。这种以流程为中心的视角不仅支持取证分析,还可以指导防御者主动破坏欺诈杀伤链中的关键节点。
与最近基于 TTP 的网络犯罪框架相比[3]例如,FIST 对 14 种策略、177 种技术和 300 多种子技术进行了分类,它提供了一种简化但同样系统的方法,专为欺诈生态系统量身定制。当前的 FIST 版本包括 4 个作阶段、9 种主要策略和 93 种详细技术(包括子技术),具有 58 种检测模式、12 种缓解措施和 12 个工具条目,所有结构均针对模块化可扩展性(见表 1)。
表 1:FIST 框架组件和规模
| 元件 | 计数 |
|---|---|
| 运营阶段 | 4 |
| 主要战术 | 9 |
| 详细技术 | 93 |
| 检测模式 | 58 |
| 缓解策略 | 12 |
| 工具入口 | 12 |
FIST 将欺诈事件分为四个主要阶段:
- 1.
准备工作:侦察和创建欺骗性资产(例如,网络钓鱼网站、虚假身份)。
- 2.
促销:传播欺诈信息并通过心理和情境触发因素引诱受害者。
- 3.
参与:建立信任并引导受害者采取有害行为(例如,资金转移、披露)。
- 4.
隐瞒:掩盖踪迹、洗钱和清除证据。
FIST 框架采用分层设计,每个阶段都包含高级策略,进一步细分为特定技术。这种分层结构支持跨组织进行精细分析、系统比较和有效知识共享。与传统的网络安全框架不同,FIST 在其双轨方法方面独树一帜,同时涵盖心理纵和技术攻击向量,使其能够非常有效地应对当今的混合欺诈场景,例如将社会工程与 AI 生成的深度伪造技术相结合的场景。
FIST 利用其模块化架构和标准化分类法,促进了与自动化平台和威胁情报系统的无缝集成。通过将基于 FIST 的标记和分类应用于事件和指标,组织可以实现一致的事件报告,简化知识转移,并启用协作防御机制。这种方法不仅增强了安全解决方案和情报协议之间的互作性,还支持全行业合作,以实现更有效和可扩展的反欺诈行动。
3案例研究:通过社交媒体进行投资欺诈
我们通过对消息传递平台上的真实投资欺诈作进行详细分析来演示 FIST 的应用。
3.1事件摘要
受害者被冒充金融专家的人引诱加入一个团体,这些人承诺高回报。欺诈计划涉及个性化的投资建议、分阶段建立信任以及逐渐增加的财务请求。欺诈者纵提款流程,并使用虚假推荐或限时优惠来加剧心理压力并逃避侦查。本案还展示了动态适应能力:当受害者产生怀疑或犹豫时,骗子会采取额外的心理纵策略,例如提供伪造的推荐信或创建限时投资窗口,以增加压力。可以使用 FIST 系统地跟踪此类自适应策略,从而为防御者 playbook 和自动警报调整提供有价值的见解。
3.2FIST 技术标测和检测点
表 2:投资欺诈案例研究:FIST 技术映射和检测点
| FIST 阶段 | 技术 ID & 名称 | 观察到的行为 | 检测指标 |
|---|---|---|---|
| 制备 (P0001) | T0003:社交媒体分析 | 分析受害者概况以确定投资兴趣和财务能力 | D0002.001:异常的帐户活动模式,快速浏览个人资料 |
| T0009.002:虚假投资文本创建 | 制定承诺“每月 30% 利润”的高回报投资计划 | D0001.010:欺诈关键词检测(“保证利润”、“无风险”) | |
| T0010.001:创建虚假帐户 | 使用 AI 生成的头像建立专业投资顾问角色 | D0001.001:通过 deepfake 分析进行 AI 生成的内容检测 | |
| T0012:欺诈性网站创建 | 构建假冒合法经纪人的虚假投资平台 | D0003.001:可疑域注册、拼写错误 | |
| 促销 (P0002) | T0014.001:社交媒体广告 | 部署了有针对性的 Facebook 广告,专注于高收入人群 | D0002.001:广告支出高、定位可疑的新帐户 |
| T0017.001: 利用贪婪 | 强调“限时机会”和“内幕信息” | D0001.012:心理纵策略,基于紧迫性的语言 | |
| T0020.003: Impersonating Celebrities | Used photos and names of renowned financial experts | D0001.002: Reverse image search reveals stolen content | |
| Engagement (P0003) | T0021.001: Investment App Download | Required victims to download “exclusive” trading applications | D0003.002: Suspicious IP origins, unverified app sources |
| T0033: Fund Transfer Requests | Guided victims through wire transfers to offshore accounts | D0004.003: Unusual fund flow patterns, high-risk destination countries | |
| T0034.002:直接资金转账 | 从受害者账户执行实际货币转账 | D0004.001:事务频率异常,大额总和变动 | |
| 隐藏 (P0004) | T0047.003:空壳公司的使用 | 利用多家空壳公司来掩盖基金线索 | D0004.007:帐户生命周期监视、实体关系分析 |
| T0050.002:域删除 | 作后删除欺诈网站和域 | D0003.001:域生命周期跟踪、快速删除模式 | |
| T0056:加密货币使用 | 将资金转换为加密货币以增强匿名性 | D0004.008:区块链分析、Mixer 服务检测 |
表 2 说明了 FIST 的模块化以及每个作阶段如何出现检测机会。通过识别行为和技术信号,安全团队可以部署有针对性的控制措施并提高事件响应的有效性。
3.3FIST 映射(高光)
- •
准备工作:收集受害者画像,编造可信的投资平台。
- •
推广:部署有针对性的消息和 deepfake 专家角色。
- •
参与度: 通过持续的互动和虚假的绩效指标建立信任。
- •
隐藏:使用过的钱骡、零散的交易、删除的记录。
4应用与讨论
FIST 支持:
- •
FIST 支持建立统一的分析标准,促进不同组织之间的协作、沟通和知识积累。
- •
通过结构化映射和技术指标,它可以增强对自动监控系统中欺诈异常的实时识别。
- •
该框架还支持开发可扩展的欺诈数据库和威胁情报共享平台。
- •
此外,FIST 还可用于设计培训课程和教育材料,提高公众和社会对预防欺诈的认识。
FIST 框架还为描述欺诈事件奠定了基础,从而促进了高级 AI 驱动的行为分析、知识图谱构建以及自动化红队和蓝队练习。通过提供一致的分类法和结构化数据集,FIST 实现了技术自动化和专家驱动的威胁搜寻。
5结论和未来工作
FIST 框架提供了一种统一、可扩展的欺诈威胁建模方法,集成了技术、行为和运营领域。通过将欺诈事件构建为阶段、策略和技术,FIST 支持详细分析,支持自动检测,并促进跨组织一致的情报共享。模块化设计允许灵活适应新出现的威胁和不同的欺诈场景,弥合网络安全、犯罪学和行为研究之间的差距。
在未来的工作中,我们将进一步扩展技术和指标目录,整合高级检测逻辑,并加强与现有安全框架(如 MITRE ATT&CK 和 DISARM)的互作性。我们还计划与行业、政府和学术合作伙伴合作开发全面的案例研究和实证验证,旨在评估 FIST 在真实环境中的有效性。此外,我们将探索将 FIST 与 AI 驱动的行为分析、知识图谱和自动事件响应系统集成,以增强技术自动化和专家主导的威胁搜寻。
FIST 作为开源项目发布,我们邀请社区做出贡献,以不断完善框架、扩展其知识库并分享最佳实践。通过协作开发和透明的知识共享,我们希望 FIST 能够加快反欺诈研究、运营和跨部门防御能力的进步。
道德考虑
本研究中的所有分析均仅使用公开可用或匿名数据进行,不收集或使用个人身份信息。FIST 框架仅用于推进欺诈检测、预防和防御,并非为任何冒犯性或恶意目的而设计或授权。在本研究的任何阶段都没有直接参与人类受试者,所有案例研究均基于模拟或公开记录的事件。作者致力于维护最高的道德标准,并确保负责任地应用该框架来促进公共安全和公共利益。