Video: Browser Extensions for OSINT & Privacy (Oktober 2024)
Spydfisking blir stadig lettere for kriminelle som prøver å sette sammen sosiale ingeniørangrep, og det hele er takket være dataene du selv legger ut på nettet, sa forskere på en sesjon på sikkerhetskonferansen Black Hat i Las Vegas.
Angripere gruver innleggene på Twitter, Facebook, Instagram, Foursquare og andre online eiendommer for å finne informasjon som folk gir om seg selv, men også for å etterligne folks skrivemåte, som ofte brukte ord, sa Trustwave-forskerne Joaquim Espinhara og Ulisses Albuquerque under deres presentasjon på torsdag. All denne informasjonen brukes til å lage en melding som faktisk høres ut som noen offeret vil kjenne.
Mange angrepsmails er faktisk gjenkjennelige som ondsinnede nettopp fordi de ikke høres ut som noe en virkelig person offeret kjenner vil si. Men hvis angripere kan avgrense tonen i meldingen, er det sannsynlig at de vil felle det offeret, sa Espinhara og Alburquerque.
Microphisher
For å bevise sitt poeng ga Trustwave-forskere ut et nytt verktøy på konferansen som analyserer offentlige innlegg og skaper et "fingeravtrykk" for hver persons kommunikasjonsstil. Microphisher bruker naturlig språkbehandling for å analysere offentlige innlegg på sosiale nettverk og andre nettsteder. Selv hvordan du bruker hashtags på Twitter, hvor lang din typiske setning er, og emner du vanligvis skriver om, kan alle brukes til å bestemme fingeravtrykket ditt, sa Alburquerque.
Microphisher er ment å hjelpe organisasjoner med å forbedre IT-sikkerheten, sa Alburquerque. Trustwave SpiderLabs setter ofte sammen penetrasjonstester og andre sosiale engasjementstester for å bestemme hvor effektiv en organisasjon er i å hindre spydfiske. Microphisher kan brukes til å lage meldinger som ligner stil og innhold som det en bestemt person vil skrive. Med en mer naturlig klingende og aktuell melding, kunne Trustwave teste organisasjonens sikkerhetsberedskap mye mer effektivt, sa Alburquerque.
Se for deg at angripere analyserer innholdet i en administrerende direktørs Twitter-feed med Microphisher. De kan deretter lage en melding som etterligner hans eller hennes stil og sende den til andre ansatte, som sannsynligvis vil klikke på en lenke i e-posten eller åpne vedlegget fordi det ville høres ut som noe administrerende direktør normalt ville skrevet, sa de.
Det motsatte er også mulig, der verktøyet kan brukes til å finne ut hvilke innlegg som er legitimt skrevet av noen og hvilke som var forfalsket. "De samme triksene kan brukes til å evaluere om e-post er realistiske, hvis du kjenner avsenderens Twitter-konto, " sa Alburquerque.
Microphisher er avhengig av statistisk analyse for å bestemme hvor nær en melding som skrives er til en e-postprofil, så den kan ikke brukes til å automatisk generere troverdige phishing-meldinger.
Hold deg trygg
Som alltid skal folk ikke klikke på tilfeldige, ukjente lenker eller åpne vedlegg, uavhengig av kilden. Det har ikke noe å si om du vet hvem personen som sender informasjonen - siden det blir stadig tydeligere at det er rikelig med informasjon tilgjengelig på nettet for å skape overbevisende forfalskninger.
