机器学习这两年可谓网络安全行业的高频词，安全专家经常强调机器学习对网络安全的重要性，但在拉斯维加斯如火如荼举办的Black Hat 2017上，赛门铁克公司的安全研究人员向我们展示了机器学习可能会带来的安全隐患。

美国当地时间7月26日，赛门铁克安全响应负责人维贾伊·瑟维尔在Black Hat 2017上演示了威胁攻击者如何利用机器学习模型提升商务电子邮件攻击(Business Email Compromise，BEC)的成功率。

电子邮件攻击必修课：社会工程

BEC诈骗是针对高层管理人员的攻击。攻击者依赖社会工程学制作电子邮件，并说服高管短时间进行经济交易，例如电汇。受害者越相信欺诈电子邮件其实是真实的，攻击者得手的可能性就越大。

瑟维尔在演示期间指出，这类骗局已经让400多家组织机构中招，带来的损失超过30亿美元(约合人民币202亿元)。攻击者会利用人类心理学中的三个弱点：恐惧、好奇、缺乏安全感。

BEC攻击不需要大量资金投入，攻击者需要的大多数信息可在互联网上免费获取，例如通过Twitter、LinkedIn和Facebook就能全面了解目标的生活。企业网站暴露了企业的组织机构，并公开了高层管理人员的名称，这些对攻击者而言均能作为有价值的信息。

瑟维尔表示，一切就在于用户如何在网络上展示自己，这类数据可能会暴露用户的更多信息。

机器学习如何增加BEC攻击成功率?

为了证明他的观点，瑟维尔展示了一张Google搜索截图，输入的关键词为“首席财务官”+“电子邮箱”。 Google搜索能简单、有效获取高管的联系信息，在某些情况下，高管的电子邮箱地址可以直接从Google搜索结果页面获取。

建立攻击模型

赛门铁克威胁分析工程师安吉特·辛格解释了威胁攻击者如何通过侦察和分析实施BEC攻击。他指出，攻击者可以使用机器学习增加入侵和敲诈的成功率，可以帮助攻击者绕过基于签名的检测系统，还可以按照旧数据模式为新数据预测各种结果。除此之外，这些模型还能击败其它机器和反垃圾邮件遥测技术。

辛格在演示中展示了如何在攻击奏效时将发送给BEC目标的电子邮件标记为“成功”，失败则标记为“失败”。他的演示包含目标的个人信息(年龄、性别、LinkedIn粉丝数量以及Twitter上的推文......)。

所有这类个人信息被注入训练模型，可以预测攻击是否会成功。如果攻击有效，信息将会被反馈到模型中，并提高未来攻击的准确性。他们将数据反馈到模型中，以便机器可以学习哪类信息不奏效。

恶意攻击讲究“吉时”

他强调了在BEC攻击期间，时间相当重要。威胁攻击者可以利用目标的时间表实施攻击计划。当攻击者了解某人在某个时间正在做的事情，就能更好地规划何时发送电子邮件或要发送的邮件内容。

辛格举例说明：一名参加活动的高管在Twitter 上公开了他的日程、演讲计划、旅行计划，这能说明这名高管何时在参加会议的途中或在工作。

为了让欺诈电子邮件更具信服力，攻击者可能会注册相似的域名。这样做的成本相当小，并且还能有效诱使个人和组织机构上当。

辛格建议Black Hat参会者回复电子邮件时“保持高度警惕”。互联网上的公开个人数据能被用来实施社会工程攻击。当攻击者开始标注成功和失败的攻击时，他们的模型将能更好地确定何时实施攻击行动最有成效。