Video: Facebook Live Registration Chatbot - ManyChat Tutorial 2020 (Oktober 2024)
Spydfiskeri bliver mere og mere lettere for kriminelle, der prøver at sammensætte socialtekniske angreb, og det er alt sammen takket være de data, du selv poster online, sagde forskere på en session på Black Hat-sikkerhedskonferencen i Las Vegas.
Angribere mine mine indlæg på Twitter, Facebook, Instagram, Foursquare og andre online egenskaber for at finde information, som folk leverer om sig selv, men også for at efterligne folks skrivestil, som ofte anvendte ord, sagde Trustwave-forskerne Joaquim Espinhara og Ulisses Albuquerque under deres præsentation torsdag. Alle disse oplysninger bruges til at lave en meddelelse, der faktisk lyder som en person, offeret ville kende.
Mange angreb-e-mails kan faktisk genkendes som ondsindede, netop fordi de ikke lyder som noget, en ægte person, offeret kender, ville sige. Men hvis angribere kan finjustere tonen i beskeden, er det sandsynligt, at de fanger dette offer, sagde Espinhara og Alburquerque.
Microphisher
For at bevise deres mening frigav Trustwave-forskere et nyt værktøj på konferencen, der analyserer offentlige stillinger og skaber et "fingeraftryk" for hver persons kommunikationsstil. Microphisher bruger naturlig sprogbehandling til at analysere offentlige indlæg på sociale netværk og andre online sider. Selv hvordan du bruger hashtags på Twitter, hvor lang din typiske sætning er, og emner, som du generelt skriver om, kan alle bruges til at bestemme dit fingeraftryk, sagde Alburquerque.
Microphisher er beregnet til at hjælpe organisationer med at forbedre deres it-sikkerhed, sagde Alburquerque. Trustwave SpiderLabs sammensætter ofte penetrationstest og andre socialt engagerende tests for at bestemme, hvor effektiv en organisation er til at forhindre spydfiskeri. Microphisher kan bruges til at lave beskeder, der ligner stil og indhold, som det, en bestemt person vil skrive. Med en mere naturlig klingende og aktuell besked kunne Trustwave teste organisationens sikkerhedsberedskab meget mere effektivt, sagde Alburquerque.
Forestil dig, hvis angribere analyserer indholdet af en administrerende direktørs Twitter-feed med Microphisher. De kan derefter lave en meddelelse, der efterligner hans eller hendes stil og sender den til andre ansatte, som sandsynligvis ville klikke på et link i e-mailen eller åbne vedhæftningen, fordi det ville lyde som noget, som administrerende direktør normalt ville skrive, sagde de.
Det modsatte er også muligt, hvor værktøjet kan bruges til at finde ud af, hvilke poster der legitimt er skrevet af nogen, og hvilke der var forfalsket. "De samme tricks kan bruges til at vurdere, om e-mails er realistiske, hvis du kender afsenderens Twitter-konto, " sagde Alburquerque.
Microphisher er afhængig af statistisk analyse for at bestemme, hvor tæt en besked, der skrives, er på en e-mail-profil, så den kan ikke bruges til automatisk at generere troværdige phishing-meddelelser.
Pas på dig selv
Som altid bør folk ikke klikke på tilfældige, ukendte links eller åbne vedhæftede filer, uanset kilden. Det betyder ikke noget, hvis du ved, hvem den person, der sender oplysningerne er - da det bliver mere og mere tydeligt, at der er masser af oplysninger tilgængelige online for at skabe overbevisende forfalskninger.
