特别企划 | 勒索界面进化史:聊聊勒索软件中运用的心理学机制

如果说有哪个词汇能同时让终端用户、安全专家以及企业信息主管感到恐惧,它可能就是——勒索软件。

安全圈内早已听说过 Archievus、Reveton、CryptoLocker、LOcky 等赫赫有名的勒索软件**。而在过去几个月里,WannaCry 与 Petya 袭来,安全行业之外的大众也对勒索软件有了更深刻的认识。而在过去的这二十年中,勒索软件究竟发生了哪些变化,本文应用了社会工程学的框架及心理学机制分析勒索软件背后的机制,带领读者一览勒索界面进化史。**

普遍意义上,勒索软件被定义为一种类型的恶意软件,它可以利用用户的计算机漏洞潜入受害者计算机,并加密其中的所有文件。攻击者将文件锁定后,会要求受害者支付赎金换取文件解密的权利。

本文试图通过分析从各种途径获取而来的勒索界面,了解勒索界面在过去的二十年中究竟有哪些演进和变化,这些勒索程序在视觉呈现,使用的语言,标志,支付类型上分别有哪些种类。而从研究的最终成果中我们可以看到,勒索界面的面貌尽管已经在演进过程中发生了很大的变化,但他们仍然具有极高的共性,特别是在应用社会工程来引导受害者支付赎金这一方面。

勒索界面:从原始文本到结构化文档

随着勒索软件不断演进变化,勒索界面上包含的视觉元素逐渐变得复杂起来。多数的勒索界面包含大量的文字信息,一些插入各种图像标示以及从流行影视及媒体中截取的图片内容。

可以看到,一部分的勒索界面(15%)非常原始,就是简单的文本文件或者写字板文件,只具有简单有限的攻击信息内容(见图1)。但这些文字信息会指引受害者前往阅读其他文档(勒索软件会将其下载到本地),或者访问网页(Tor)来获取更多信息。

在原始版本的基础上,之后出现的勒索软件的勒索界面就先进得多了,页面上不仅显示攻击的详细信息,还展示了支付细节以及联系方式。勒索界面以结构化而有逻辑的方式呈现这些信息,通常按照顺序向受害者解释发生了什么(你遭受了攻击)、如何解决(你应当支付赎金)。这样的勒索屏幕带给受害者一种有组织有纪律的专业性,并带来一种只要乖乖付费就能恢复文档的印象。

在图片2中展示的就是这种模式的经典样式。

图像的运用:权威机构、犯罪形象、匿名者面具

在勒索界面中,勒索者逐渐开始使用大量的图片。一开始使用的图片是锁、盾牌、徽章之类的简单图案,之后开始出现使用 FBI 等具有法律强制性的机构图片。

这种趋势可能和社会工程中要求增强权威性有关。据调查显示,这种带有权威机构的勒索通常特别有效——他们会告诉受害者他们加密电脑文件是因为在用户计算机中检测到色情内容或者违反版权的文件。有时,一些攻击者还会附加上 Microsoft 及 Windows 的商标图案来表达攻击的针对性。

还有一类带有流行文化色彩的图片,通常会应用在勒索界面上,比如《电锯惊魂》中的反派角色“Jigsaw”。这个角色似乎代表了一类没有真实面孔的犯罪形象,在勒索软件中扮演着发言人的角色。这种形象具有一点幽默感,也具有威吓力。

勒索软件中经常露脸的则是《V字仇杀队》中 V 的面具 Guy Fawkes mask(闻名全球的黑客组织匿名者也常使用该图)。使用此类图像的目标还是在于增强与社会工程相关的权威元素,或者唤起那些不熟悉黑客领域的大众受害者对于匿名者组织的印象。增加了这一类流行文化图像后,受害者支付赎金的转化率是否也相应地提高了呢,尽管目前还没有精确的量化研究,但笔者认为还是存在一定相关性的。

杜鹃勒索:伪装升级,不是勒索是交罚金

近年来出现了更多伪装性较强的勒索程序,他们并不表明自己正在实施勒索的目的,甚至还伪装成官方身份因此被研究员称为杜鹃勒索。他们所用的方式通常是想用户说明他们使用的操作系统(通常是Windows)是被禁止的,他们检测到用户计算机中存在非法的、违反版权的软件,或者是用户访问了色情内容或其他非法网站。当然在这种类型中,他们也使用了上述的社会工程学技巧,用权威图片、商标。

其次,杜鹃勒索中还可能提供在线支付之外的第二选项,用户也可以前往当地的法院进行罚款支付(在解密文件上会延迟4-5天),这样更多期望着立刻恢复文件权限的用户就会不假思索地选择前者进行赎金支付。

善意与恶意的矛盾交织

除了上述的趋势之外,攻击者现在越来越试图在勒索界面上塑造幽默或轻松、双方能够沟通理解的氛围。如在支付比特币旁设置“给我比特币或者给我买咖啡喝”;“如果你有问题的话,查看FAQ或约我出去玩吧”;也有在确认支付的按钮上附加“满怀爱意地支付”之类的信息。

攻击者虽然是在做勒索这类恶意行为,但现在表达出的信息却矛盾地带着善意、幽默感和爱心,似乎希望让受害者喜欢他们,理解他们,鼓励受害者与他们互动。

而在勒索界面中提供“捐款”选项则存在着另一层意义,转变了攻击者与受害者双方不对等的立场。也有攻击者队提供“贫困者享受的折扣”,展现其“社会良知”。

背后的心理学机制

由此可以看到,勒索软件也具有其设计思想,当然,勒索软件制作者也并非刻意(也许是不经意)地应用心理学原则来提升恐吓及勒索成功的概率。但遭受勒索的用户如果不容易识别勒索界面视觉效果及文字信息中的这些“圈套”,则会轻易地落入陷阱,稀里糊涂地就缴纳了赎金。

通常所说的社会工程学技巧,是指通过攻击者的操作,指引来说服受害者服从他的指挥,让其获取到敏感信息。而这些社工技巧也是一种从受害者处获取赎金的技巧。勒索软件中,我们关注的是以下三个关键细节:

1. 稀缺性:如果一件东西是稀缺的罕见的难以获取的,人们对此物件的向往就会增强。稀缺性通常也与用户需求的紧急性相关联,时间上的紧迫很容易使得人们需要迅速决断,导致做出关键性的错误决策。 2. 权威性:个人通常更愿意听从他们认为是权威的人的要求或者指示。这里的权威性并非是真实的权威,只要用户信任他们,就将会遵照他们的指示。 3. 讨人喜欢:人们会倾听他们喜欢的人的说法,可能会满足其要求。勒索软件中常会使用幽默的语言在勒索界面上与用户交流。

通过仔细观察勒索软件,我们可以发现勒索软件中无论是图片还是文字,呈现出的视觉信息可以分为以下的四种类型。

  • 界面中的视觉与审美呈现
  • 使用的语言和社会工程技巧运用
  • 使用的图像或文化图标
  • 与支付相关的信息

攻击者普遍倾向使用比特币作为赎金货币,统计中75%的勒索软件都是比特币支付的。其次,39%的勒索软件屏幕都用明确的指示告诉受害者比特币是什么,以及如果购买兑换比特币。更小部分的勒索软件还会建议受害者下载并使用 Tor 浏览器来购买数字货币。而随着勒索时间的变化,攻击者还可能将赎金金额翻倍。

时间限制的特点在过半样本中都会出现,是社会工程中让受害者加速决策的重要特点之一。时间限制与稀缺性概念相关,从而对受害者施压,让其感受到紧迫。攻击者时常会在勒索时表示,如果限定时间内没有付款,用户的文件就会被永久删除;或是在约定时间后,赎金金额就将会翻倍/文件就会公开在网络上等等。这些策略都会影响用户做出的决定。勒索界面中都会有警告说明,攻击者是唯一可以解密的人,来强调稀缺性。而出现在历史的勒索软件中,最短的时间限制为10小时(对需要购买比特币的用户来说,这个时间确实是个考验)。但这只是比较极端的例子,仅有12%的勒索是需要在少于12小时内支付赎金的,多数的攻击者都会给出72小时(36%),48小时(16%),96小时(16%),长于96小时( 小于23%)的赎回时间。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

375100
来自专栏FreeBuf

可视化DDoS全球攻击地图

DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点...

65860
来自专栏安恒信息

ICS/SCADA 工控安全性脆弱的5个原因

来源: DARKMATTERS 作者: Brian Contos 编译: 安恒信息DBAPPSecuiry LAB 编者按:随着计算机和网络技术的发展,信息化与...

32250
来自专栏黑白安全

流氓黑客试图以 5000 万美元出售 iPhone 恶意软件

据外媒BGR报道,大约两年前,安全研究人员发现当时被称为世界上最先进的手机黑客软件。这个工具被称为Pegasus ,是一家名为NSO Group的以色列安全公司...

10940
来自专栏腾讯数据中心

微软LES供电架构介绍(下)

接上篇,我们将继续为您介绍微软LES供电架构 ? 图6 LES电源的各个指标介绍 如图6所示的LES分布式供电架构的一些主要规格是: 1、满足35秒满载备电时...

458100
来自专栏量子位

三种主流机器人全被黑客攻破,让马斯克忧心的杀人机器并不遥远

李杉 允中 编译整理 量子位 出品 | 公众号 QbitAI ? 科幻小说和电影里,经常会有类似“天网”的角色。而在设想自动化技术给人类负面影响时,我们通常会想...

34530
来自专栏空帆船w

印象笔记终于支持 Markdown 了

2018 年 8 月 3 日,印象笔记举办六周年庆祝活动,印象笔记官方现场展示了新版 App,新增专为中国用户开发的 Markdown 、电脑端密码锁、Widg...

35720
来自专栏安恒信息

网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户...

28350

诈骗者在网上偷你钱的10种方式

从互联网诞生开始,网络犯罪一直是骗子利润丰厚的生意。尽管我们在安全性方面取得了进步,例如生物识别技术,以及如区块链之类的更有希望的安全技术成为趋势,但是道高一尺...

11400
来自专栏FreeBuf

电脑、手机都断网了,还会被黑客入侵吗?

无论是电脑、智能手机、或者是其他的可联网设备,只要连了网络,就意味着已经暴露在安全威胁之中了。尤其是最近几年,间谍技术和各类间谍工具发展迅速,导致黑客组织、情报...

36770

扫码关注云+社区

领取腾讯云代金券