针对贷款投资类网络诈骗的社工机器人模拟方法

1.本发明涉及一种针对贷款投资类网络诈骗的社工机器人模拟方法，属于人工智能/社会工程学技术领域。


背景技术：

[0002][0003]
目前，电信网络诈骗日益成为各国的社会“顽疾”之一。诈骗对象也逐步从广撒网式向精准诈骗转变。与广撒网和随机式的诈骗方式不同，精准诈骗更具有针对性和指向性，因此其欺骗性和迷惑性更进一步增强，成功率也更高。个人信息泄露成为精准诈骗实施的关键因素和重要推手。另外，诈骗犯罪通常呈现多种犯罪手段混合模式和时间跨度长的特点。
[0004]
社会工程学(social engineering，又翻译为：社交工程学)在20世纪60年代左右作为正式学科出现。凯文
·
米特尼克在《反欺骗的艺术》中指出：人的因素是安全过程中最薄弱的环节。在数字世界中，科学研究人员已经找到了可以实现理论上绝对安全的量子密码学方法，很多公司在信息安全上投入大量的资金购买和安装安全产品。
[0005]
然而，社会工程学攻击者通过欺骗内部人员，可以直接绕过所有技术上的保护措施。如杨义先、钮心忻在《黑客心理学：社会工程学原理》中指出社会工程学攻击一般具有以下特征：
[0006]
(1)攻击的直接对象是人，而不是设备。
[0007]
(2)攻击者和被攻击者之间没有直接的身体接触。
[0008]
(3)社工攻击属于赛博式攻击，形成“反馈
→
微调
→
反馈”的封闭循环链。攻击者常常需要与被攻击者进行多次信息互动，诱导被攻击者有意无意地协助黑客一步一步地逼近最终目标。
[0009]
(4)如果不了解社工攻击手段，则很容易被骗；但如果知道他人正在攻击，则很容易化解。
[0010]
比照贷款投资类电信网络诈骗的犯罪过程容易看出，犯罪人员采用的就是社会工程学攻击。具体而言：诈骗人员按照事先准备好的剧本，与受害人多次互动，一步一步落入陷阱。因此，可以采用社会工程学研究方法来研究电信网络诈骗问题。


技术实现要素：

[0011]
针对现有技术中，无法有效地保存和收集完整被骗证据、无法有效地对诈骗人员进行追踪溯源的问题，本发明提出了一种针对贷款投资类网络诈骗的社工机器人模拟方法，实现了高效地收集犯罪人员攻击行为、完整地保存被骗证据的效果，并给出了一种实用且有效的诈骗人员追踪溯源方法。
[0012]
所述的针对贷款投资类网络诈骗的社工机器人模拟方法，具体步骤如下：
[0013]
步骤一、根据实际需求设置若干不同属性的社工机器人，并为各社工机器人分别
配置用户属性。
[0014]
属性包括“申请贷款过程中需要提供的信息”和“诈骗过程中需要提供的信息”，具体为：基础信息(姓名、性别、年龄，身份证号码和身份证照片)，职业信息(职业、职位、学历、工作/学习单位、地点)，资产信息(是否有房、车、公积金、社保、打卡工资、保单、营业执照)，银行卡号(开户行、银行卡号)，联系方式(手机、微信、qq、邮箱)，借款金额等。
[0015]
步骤二、根据社工机器人的属性值，在各种贷款平台填写小额贷款申请表，并留下社工机器人的个人信息泄漏给诈骗人员。
[0016]
步骤三、构建符合社工机器人基本人设的行为，语言和语音数据库，以及诈骗过程存档库；
[0017]
(1)行为数据库：点击链接、下载和安装软件等；
[0018]
(2)语言数据库：用于与犯罪人员在线聊天；
[0019]
(3)语音数据库：用于与犯罪人员语音聊天；
[0020]
(4)诈骗过程存档库：用于保存和收集完整的被骗证据。
[0021]
步骤四、社工机器人与诈骗人员互动，并保留全部信息存入四个数据库中；
[0022]
步骤五、当诈骗人员诱导社工机器人转账时，社工机器人发送带有木马程序植入的转账失败图片，对诈骗人员进行追踪溯源并将追踪数据反馈给公安部门。
[0023]
本发明的优点在于：
[0024]
1)、针对贷款投资类网络诈骗的社工机器人模拟方法，由于诈骗犯罪通常时间跨度长，相对使用真实警员作为卧底，本发明采用社工机器人可以大大节省警力。
[0025]
2)、针对贷款投资类网络诈骗的社工机器人模拟方法，作为社会工程学研究中的蜜罐，本发明构建的社工机器人的属性设置比普通人群更符合潜在受害人的特征、对诈骗人员更有吸引力，从而大大提高了社工机器人受骗的可能性，提高犯罪人员攻击行为收集效率、也变向保护了其他潜在受害人。
[0026]
3)、针对贷款投资类网络诈骗的社工机器人模拟方法，社工机器人比一般的受害者更能保存和收集完整的被骗证据，为案件侦破和定罪提供有力的依据。
[0027]
4)、针对贷款投资类网络诈骗的社工机器人模拟方法，当犯罪人员诱导社工机器人转账时，社工机器人以各种借口说转账失败(如达到限额、账户被冻结、需要共有人同意等等)，然后发送制作出的转款截屏图片，将木马程序植入在图片文件里，以此来获取犯罪人员硬件里的各种信息。这是真实受害人难以完成的。
[0028]
5)、针对贷款投资类网络诈骗的社工机器人模拟方法，由于近年来的大部分犯罪人员(犯罪团伙)都有较高信息技术水平，在真实受害人转账之后，犯罪人员会即刻将赃款以提现、消费、多次转账等方式转移逃避冻结。因此，从技术方面对犯罪人员进行网络追踪要比对资金流进行追踪，在速度和安全性方面更具优势。可见本发明中利用图片木马实现追踪溯源，不仅在操作上相对简单，且在具体实施过程中的可操作性、实用性很强。
[0029]
6)、针对贷款投资类网络诈骗的社工机器人模拟方法，社工机器人还可以通过收集到的大量社工攻击链数据，进行诈骗模板分析，为防诈骗宣传提供真实素材。
[0030]
7)、针对贷款投资类网络诈骗的社工机器人模拟方法，考虑到真实诈骗过程中被害人所需的行为、语言和语音都非常简单，本发明构建对应数据库，非常精简、不需要经常更新、扩充等。由此，可以大大提高本发明的实施效率。
附图说明
[0031]
图1为本发明针对贷款投资类网络诈骗的社工机器人模拟方法搭建的平台模块；
[0032]
图2为本发明针对贷款投资类网络诈骗的社工机器人模拟方法的流程图。
具体实施方式
[0033]
下面结合附图和实施例对本发明进行进一步详细说明。
[0034]
本发明公开了一种针对贷款投资类电信网络诈骗犯罪的社工机器人模拟方法，如图1所示，搭建的平台模块包含：(1)属性设置模块，根据贷款投资类电信网络诈骗犯罪的真实受骗人常见属性和诈骗过程中需要提供的信息，设置社工机器人的用户属性；(2)个人信息泄漏模块，根据真实受骗人常见信息披露过程披露社工机器人的用户属性，即将个人信息泄露给诈骗人员；(3)与犯罪人员互动模块，根据真实犯罪过程中真实受骗人的行为(点击链接、下载和安装软件等；在线聊天和语音聊天)构建行为库和语言、语音库，以传统聊天机器人为基础在整个诈骗过程中与诈骗人员互动，并保留全部信息；(4)追踪溯源模块，利用图片木马等手段对诈骗人员进行追踪溯源；(5)数据分析及反馈模块，根据获取的诈骗信息(社工攻击链)进行数据分析。
[0035]“属性设置模块”根据实际需求设置若干不同属性的社工机器人，并将相关属性数据传递到“个人信息泄漏模块”和“与犯罪人员互动模块”；“个人信息泄漏模块”泄露出：社工机器人在哪个贷款平台填写了小额贷款申请表，引入社工机器人“与犯罪人员互动模块”，互动过程中利用“追踪溯源模块”追踪诈骗人员的溯源信息，并将溯源数据传输给“数据分析及反馈模块”以便后续分析；近年来的大部分犯罪人员(犯罪团伙)都有较高信息技术水平，且反侦察意识很强，追踪溯源信息有很强的时效性。因此将溯源结果及时反馈给公安部门。分析内容包括但不限于：诈骗模板分析。最终结果可以为防诈骗宣传提供真实素材，有助于预防被骗。
[0036]
所述的针对贷款投资类网络诈骗的社工机器人模拟方法，如图2所示，具体步骤如下：
[0037]
步骤一、根据实际需求设置若干不同属性的社工机器人，并为各社工机器人分别配置用户属性。
[0038]
社工机器人的用户属性包括“基本属性”、“申请贷款过程中需要提供的信息”、“诈骗过程中需要提供的信息”三部分；如下表1所示：
[0039]
表1
[0040]
属性分类属性基础信息姓名、性别、年龄，身份证号码和身份证照片职业信息职业、职位、学历、工作/学习单位、地点资产信息是否有房、车、公积金、社保、打卡工资、保单、营业执照银行卡号开户行、银行卡号联系方式手机、微信、qq、邮箱借款金额 [0041]
作为社会工程学研究中的蜜罐，本发明构建的社工机器人的属性设置比普通人群更符合潜在受害人的特征、对诈骗人员更有吸引力。通过在受害人数据库中找到几类受害
人的代表元，作为对诈骗人员更有吸引力的社工机器人属性；具体如下：
[0042]
第一种是基于聚类分析的算法：
[0043]
(1)以现有受害人数据为研究基础，根据经验选择属性和初始代表元。
[0044]
经验主要来源于警方的侦破经验和已经被抓获的诈骗人员的供述。当然，根据现有的聚类分析等无监督学习算法，可以不依赖经验直接得到几类受害人的代表元(即每个簇的均值向量)。但考虑到网络诈骗通常按照一定的诈骗套路进行，根据经验(已经了解的诈骗套路)可以大大提高算法效率。
[0045]
(2)根据聚类分析算法，将现有样本(受害人)数据清洗、归一化和计算距离等，反复迭代得到若干簇(即几类受害人)已经每个簇的均值向量(即几类受害人的代表元)。
[0046]
(3)上述每个簇的代表元就是几类具有代表性、具有吸引力的受害者。
[0047]
第二种算法基于随机抽样的算法：
[0048]
通过搜集现有受害人数据，主要来源于警方的侦破经验和已经被抓获的诈骗人员的供述。将上述数据排列并编号，从1到n。根据需要生成的社工机器人数量m，从上述数据中抽样，将抽样获得的受害人属性作为社工机器人的属性。
[0049]
这样的操作简单易行，且足以获得具有吸引力的社工机器人。这是因为：网络诈骗通常按照一定的诈骗套路进行，诈骗人员选择受害人也是具有一定标准的。这意味着现有受害人中有非常多的个体贴近上述标准，且分属于不同的受害人类型。通过随机抽样，如果某些属性的个体更具有吸引力，那么在受害人数据库中将具有较多这类属性的个体，那么随机抽样得到这个属性的个体的可能性更大。
[0050]
步骤二、根据社工机器人的属性值，在各种贷款平台填写小额贷款申请表，并留下社工机器人的个人信息泄漏给诈骗人员。
[0051]
步骤三、构建符合社工机器人基本人设的三个数据库(行为、语言、语音数据库)以及诈骗过程存档库；
[0052]
事实上，考虑到网络诈骗通常按照一定的诈骗套路进行，诈骗人员和受害人的常用行为和语言要远远小于传统聊天机器人，直接构建更加简洁的行为、语言和语音数据库，可以大大简化操作，减少了对他人现有成果的依赖。
[0053]
(1)行为数据库：点击链接、下载和安装软件等；
[0054]
(2)语言数据库：用于与犯罪人员在线聊天；
[0055]
(3)语音数据库：用于与犯罪人员语音聊天；
[0056]
(4)诈骗过程存档库：用于保存和收集完整的被骗证据，为案件侦破和定罪提供有力的依据。
[0057]
第4个数据库(诈骗过程存档库)对于所有社工机器人都是一致的。但前3个数据库(行为、语言、语音数据库)需要针对不同属性的社工机器人进行建构，以使得社工机器人的行为和语言习惯符合人设，避免被诈骗人员识破卧底身份。
[0058]
构建数据库的语料来源于2个内部渠道和4个外部渠道：
[0059]
内部渠道：(1)警方收到的报案信息；(2)已经被抓获的诈骗人员供述的诈骗套路。
[0060]
外部渠道：(1)中国信息通信研究院安全研究所编写的《新形势下电信网络诈骗治理研究报告 (2020年)》；(2)中华人民共和国公安部主办的“网络违法犯罪举报网站”；(3)公安部打击治理电信网络新型违法犯罪查控中心、北京市公安局主办的“全面反诈app”；
(4)2019年11月，最高人民法院发布的中国司法大数据研究院《网络犯罪司法大数据专题报告》及10起电信网络诈骗犯罪典型案例。
[0061]
本步骤的关键在于针对不同类型受害者构建有针对性的、不同的数据库，使得社工机器人的行为和语言习惯符合人设，避免被诈骗人员识破卧底身份。
[0062]
具体而言，针对步骤一中选出的社工机器人的不同属性，根据前述6个构建数据库的语料来源，首先删选出与该社工机器人属性基本一致的受害人信息和被骗经历，整理这些受害人与诈骗人员的沟通过程(行为、语言、语音)，构建与社工机器人属性相符合的行为、语言、语音数据库。
[0063]
步骤四、社工机器人与诈骗人员互动，并保留全部信息存入四个数据库中；
[0064]
步骤五、当诈骗人员诱导社工机器人转账时，社工机器人发送带有木马程序植入的转账失败图片，对诈骗人员进行追踪溯源并将追踪数据反馈给公安部门。
[0065]
当诈骗人员诱导社工机器人转账时，社工机器人以各种借口说转账失败(如达到限额、账户被冻结、需要共有人同意等等)，然后发送制作出的转款截屏图片，将木马程序植入在图片文件里，以此来获取犯罪人员硬件里的各种信息。由此，利用图片木马实现对犯罪人员的追踪溯源。公安部门根据获取的诈骗信息(社工攻击链)进行数据分析。
[0066]
实施例
[0067]
数据来源有四个：(1)中国信息通信研究院安全研究所编写的《新形势下电信网络诈骗治理研究报告(2020年)》；(2)中华人民共和国公安部主办的“网络违法犯罪举报网站”；(3)公安部打击治理电信网络新型违法犯罪查控中心、北京市公安局主办的“全面反诈app”；(4)2019年11月，最高人民法院发布的中国司法大数据研究院《网络犯罪司法大数据专题报告》及10起电信网络诈骗犯罪典型案例。
[0068]
第一步，属性设置模块设置社工机器人的用户属性；
[0069]
首先，根据真实数据分析，得到本类诈骗案件受害人的常见基本属性，包括：年龄40岁以下，消费需求旺盛；有形资产较少或没有，无法达到抵押贷款的要求；曾经使用过校园贷等小额贷款。社交机器人的基本属性设置，将贴近以上真实受害人常见属性，以便达到迷惑、吸引社会工程学攻击者的目的。
[0070]
然后，申请贷款过程中需要提供的信息。
[0071]
如前所述，如今诈骗人员在诈骗对象的选择上，逐步从广撒网式向精准诈骗转变。个人信息泄露成为精准诈骗实施的关键因素和重要推手。而根据真实数据分析可知，真实受害人通常都在各种贷款平台申请小额贷款、利用搜索引擎寻找过网络贷款途径、点击网站的贷款弹出广告等等，填报时留下了手机号等个人信息。这些信息将成为诈骗人员选择目标的依据。本实施例涉及的社工机器人，作为社会工程学研究中的蜜罐，其属性设置必须比普通人群更符合潜在受害人的特征、对诈骗人员更有吸引力，从而更容易被诈骗人员选为潜在受害人(犯罪目标)。
[0072]
诈骗过程中需要提供的信息：
[0073]
根据真实的诈骗实施剧本(预定的犯罪实施过程)，在诈骗过程中，受骗人将在犯罪人员的引导下，先后提供手机、微信、qq、银行卡号等信息。需要预先设置相互匹配的属性值，以免引起犯罪人员的怀疑。
[0074]
可见，属性设置模块将依据真实受害人和犯罪过程设置社工机器人的属性，并且
确保：(1)信息前后一致、不易引起犯罪人员怀疑；(2)比普通人群更符合潜在受害人的特征、对诈骗人员更有吸引力。本模块设置社工机器人的属性，又可以细分为两个步骤：
[0075]
第1步：设置基本属性信息。
[0076]
表1
[0077][0078][0079]
第2步：根据基本属性，完善详细属性。
[0080]
表2
[0081]
属性分类属性基础信息姓名、性别、年龄，身份证号码和身份证照片职业信息职业、职位、学历、工作/学习单位、地点资产信息是否有房、车、公积金、社保、打卡工资、保单、营业执照银行卡号开户行、银行卡号联系方式手机、微信、qq、邮箱借款金额 [0082]
在基础信息中：
[0083]
(1.1)身份证号码和身份证图片信息要与姓名、性别、年龄一致；
[0084]
(1.2)根据真实受害人数据，年龄范围为20-40岁。
[0085]
在职业信息中：
[0086]
(2.1)职业、职位、学历需要与年龄相互匹配；
[0087]
(2.2)职业、工作/学习单位、地点相互匹配；
[0088]
(2.3)职业属性的属性值包括：学生、无业、个体工商户等；
[0089]
(2.4)职位属性的属性值应该是与职业匹配的较低职位。
[0090]
在资产信息中：
[0091]
(3.1)根据真实受害人数据，有形资产较少或没有，无法达到抵押贷款的要求，因此是否有房、车、保单的属性值均为“无”；
[0092]
(3.2)是否有公积金、社保、打卡工资、营业执照的属性值需要与职业匹配。
[0093]
在银行卡号中：
[0094]
(4.1)银行卡号与开户行相互匹配；
[0095]
(4.2)开户行与工作/学习单位的地点相互匹配；
[0096]
在联系方式中：
[0097]
(5.1)手机、微信、qq、邮箱相互匹配、存在绑定关系、相似头像和昵称；
[0098]
(5.2)手机、微信、qq、邮箱可以正常联系使用。
[0099]
在借款金额中：
[0100]
(6.1)借款金额与年龄、职业相互匹配，例如：20岁左右学生的借款金额范围为1万至5万；30岁左右个体工商户的借款金额范围为10万至50万。
[0101]
第二步、利用个人信息泄漏模块将社工机器人的个人信息泄露给诈骗人员。
[0102]
如前所述：个人信息泄露成为精准诈骗实施的关键因素和重要推手。根据真实数据分析可知，真实受害人通常都在各种贷款平台申请小额贷款、利用搜索引擎寻找过网络贷款途径、点击网站的贷款弹出广告等等，填报时留下了手机号等个人信息。这些信息将成为诈骗人员选择目标的依据。
[0103]
本模块旨在根据社工机器人的属性值，在各种贷款平台填写小额贷款申请表，借此留下了手机号等个人信息。从而自然地将社工机器人的个人信息泄漏给诈骗人员。
[0104]
第三步、利用与犯罪人员互动模块，实现社工机器人与诈骗人员的互动；
[0105]
根据真实犯罪过程中真实受骗人的行为，构建行为库和语言、语音库。本模块综合了现有爬虫技术和聊天机器人技术。在设置过程中，语言、行为需要符合社工机器人基本人设，不易引起犯罪人员怀疑。另外，本模块将保留在整个诈骗过程中与犯罪人员互动的全部信息。
[0106]
第四步、利用追踪溯源模块对诈骗人员进行追踪；
[0107]
如前所述，近年来的大部分犯罪人员(犯罪团伙)都有较高信息技术水平，在真实受害人转账之后，犯罪人员会即刻将赃款以提现、消费、多次转账等方式转移逃避冻结。因此，从技术方面对犯罪人员进行网络追踪要比对资金流进行追踪，在速度和安全性方面更具优势。本模块采用“以彼之道还施彼身”的思路，当犯罪人员诱导社工机器人转账时，社工机器人以各种借口说转账失败(如达到限额、账户被冻结、需要共有人同意等等)，然后发送制作出的转款截屏图片，将木马程序植入在图片文件里，以此来获取犯罪人员硬件里的各种信息。由此，利用图片木马，本模块可以实现对犯罪人员的追踪溯源。同时将溯源结果反馈给公安部门。
[0108]
第五步、利用数据分析及反馈模块对溯源信息进行数据分析。
[0109]
根据大量诈骗信息(社会工程学攻击链数据)和获取的追踪溯源信息进行数据分析。这些分析内容，包括但不限于：诈骗模板分析。本模块结果可以为防诈骗宣传提供真实素材，有助于预防被骗。
[0110]
·
实施例1
[0111]
模块1：属性设置模块
[0112]
基本属性：普通本科院校四年级学生、女、22岁，预计贷款金额2万元，用于消费。详细属性要与基本属性一致，特别是在“资产信息部分”中是否有房、车、公积金、社保、打卡工资、保单、营业执照等属性的属性值均为“无”。
[0113]
模块2：个人信息泄漏模块
[0114]
如前所述，在各种贷款平台申请小额贷款、利用搜索引擎寻找过网络贷款途径、点击网站的贷款弹出广告等等，填报时留下了手机号等个人信息。
[0115]
模块3：与犯罪人员互动模块
[0116]
根据真实犯罪过程中真实受骗人的行为，综合现有爬虫技术和聊天机器人技术构建行为数据库、语言数据库、语音数据库。构建的上述数据库需要符合普通本科院校四年级女生的习惯，不易引起犯罪人员怀疑。另外，诈骗过程存档库保留在整个诈骗过程中与犯罪人员互动的全部信息，为案件侦破和定罪提供有力的依据。
[0117]
模块4：追踪溯源模块
[0118]
当犯罪人员诱导社工机器人转账时，社工机器人以各种借口说转账失败(如达到限额、账户被冻结、需要共有人同意等等)，然后发送制作出的转款截屏图片，将木马程序植入在图片文件里，以此来获取犯罪人员硬件里的各种信息。由此，利用图片木马，本模块可以实现对犯罪人员的追踪溯源。同时将溯源结果反馈给公安部门。
[0119]
模块5：数据分析及反馈模块
[0120]
根据模块3获取的大量诈骗信息(社会工程学攻击链数据)和模块4获取的追踪溯源信息进行数据分析。
[0121]
·
实施例2
[0122]
模块1：属性设置模块
[0123]
基本属性：个体工商户(创业者)、男、35岁、大专学历，预计贷款金额30万元，用于资金周转、投资新项目。详细属性要与基本属性一致，特别是在“资产信息部分”中是否有房、公积金、社保、打卡工资、保单等属性的属性值均为“无”；是否有车、营业执照等属性的属性值均为“有”。
[0124]
模块2：个人信息泄漏模块
[0125]
如前所述，在各种贷款平台申请小额贷款、利用搜索引擎寻找过网络贷款途径、点击网站的贷款弹出广告等等，填报时留下了手机号等个人信息。
[0126]
模块3：与犯罪人员互动模块
[0127]
根据真实犯罪过程中真实受骗人的行为，综合现有爬虫技术和聊天机器人技术构建行为数据库、语言数据库、语音数据库。构建的上述数据库需要符合普通急需资金周转的个体工商户的习惯，不易引起犯罪人员怀疑。另外，诈骗过程存档库保留在整个诈骗过程中与犯罪人员互动的全部信息，为案件侦破和定罪提供有力的依据。
[0128]
模块4：追踪溯源模块
[0129]
当犯罪人员诱导社工机器人转账时，社工机器人以各种借口说转账失败(如达到限额、账户被冻结、需要共有人同意等等)，然后发送制作出的转款截屏图片，将木马程序植入在图片文件里，以此来获取犯罪人员硬件里的各种信息。由此，利用图片木马，本模块可以实现对犯罪人员的追踪溯源。同时将溯源结果反馈给公安部门。
[0130]
模块5：数据分析及反馈模块
[0131]
根据模块3获取的大量诈骗信息(社会工程学攻击链数据)和模块4获取的追踪溯源信息进行数据分析。