Entenda como os cibercriminosos agem e saiba como se
proteger dessas práticas
Como sabemos, a principal condição de sucesso para as
operações de phishing está na qualidade da isca. Isto é: na capacidade que uma
mensagem eletrônica apresenta de levar o seu destinatário a tomar uma
determinada ação (que ele deveria saber como sendo potencialmente arriscada),
como baixar um arquivo eletrônico, ou enviar para o remetente uma informação
relevante para sua própria segurança ou privacidade.
É por isso que, em ataques virtuais, a mensagem que
transporta o malware vem, invariavelmente, travestida com o conteúdo de
comunicados úteis ou apelativos, como falsos boletos bancários, ou camufladas
em bilhetes íntimos, com promessas de atrações como fotografias de festas e
confidências amorosas.
Explorado já em seus extremos e bastante repelido pelos
alvos em potencial, este tipo de abordagem 'vale tudo' vai se tornando pouco
eficiente para o phishing, o que exige dos atacantes o emprego de técnicas cada
vez mais sofisticadas de abordagem e persuasão das vítimas.
No encontro global de hackers éticos, o Black Hat, ocorrido
em julho último, em Las Vegas, os especialistas chamaram a atenção para este
fenômeno e apresentaram novas metodologias, que garantem ataques muito mais
efetivos, a partir da garimpagem e análise de informações individuais e
empresariais que circulam livremente na web.
Entre estas novas propostas, estava uma, desenvolvida pelos
autores deste artigo, que lança mão de uma ferramenta denominada μphisher (ou
microfisher). Esta nossa nova abordagem propõe a exploração das redes sociais,
de forma sistemática e entrecruzada como base para alicerçar o phishing. A
ideia é consolidar o exato perfil das mensagens produzidas por um usuário em
redes de interação social através de suas postagens, comentários e
relacionamentos..
Entendemos que a grande quantidade e variedade de mensagens
produzidas pelos usuários nesses meios oferece preciosas pistas sobre os
hábitos verbais desses indivíduos, posicionando as redes sociais como um
celeiro de informação para a produção de metadados capazes de fornecer
subsídios para 'clones' altamente verossímeis e, portanto, de grande eficiência
em operações de phishing.
Propomos a exploração desse manancial de dados online das
redes sociais, através do uso combinado de técnicas de pré-processamento de
dados e processamento de linguagem natural. Com o emprego de tais ferramentas,
torna-se possível coletar, analisar, indexar e rastrear grandes compostos de
dados extraídos das redes sociais para compor uma esteira de produção dos
"clones" virtuais.
É bem verdade que o uso de tais ferramentas já é amplamente
empregado pelos próprios controladores das redes sociais, não sendo exatamente
uma novidade. Sua aplicação, aliás, faz parte do arcabouço de condições que
garante lucratividade para estas detentoras de redes, cuja atividade comercial
consiste exatamente em absorver, concentrar, classificar, cruzar e vender
informações de interesse dos negócios dos clientes.
Até por isto - e também em função da privacidade do usuário
- as redes sociais costumam guardar a sete chaves o grosso das informações
críticas resultantes de análises semânticas, comportamentais e relacionais, que
dizem muito sobre a personalidade individual de cada usuário, seus hábitos,
preferências e propensões.
Nossa proposta, no entanto, tem uma abrangência bem mais
específica e pragmática. Não é nosso interesse - nesse momento - conhecer a
fundo o membro de uma rede, a ponto de antever suas ações futuras ou
relacioná-lo a uma ação ou causa ou produto compatível com os seus interesses.
Queremos, sim, buscar "a imitação perfeita", para produzir ataques
potencialmente infalíveis em atividades de pentest, sendo que a mesma
tecnologia poderia se prestar à validação dos perfis, proporcionando, dessa
forma, ações defensivas igualmente mais bem embasadas.
Para a finalidade aqui proposta, o atacante não necessita
quebrar qualquer barreira de informação imposta pelas redes sociais. Todas as
pistas necessárias estão nas postagens públicas dos indivíduos e nos diversos
tipos de APIs que as próprias redes sociais deixam em aberto para facilitar a
sua integração com outras redes ou aplicações capazes de lhes fornecer mais e
mais dados de usuários.
Nesse contexto, as técnicas de análise e processamento de
linguagem natural são empregadas para identificar, mapear e tipificar os
padrões linguísticos de um internauta-alvo, isolando, dessa maneira um padrão
quase inconfundível. Seu vocabulário recorrente, o tamanho de suas frases, a
frequência de duas opções morfológicas (quando e como emprega verbos, substantivos,
adjetivos), os erros frequentes que comete, todos estes fatores combinados são
utilizados para a criação de uma matriz de mensagens que tem a força da
"impressão digital" do indivíduo.
Nossa abordagem μphisher compreende, inicialmente, as fases
de identificação do perfil a ser criado o "clone" e a coleta de suas
diversas interações em diferentes redes, para a análise e construção do perfil
virtual. Através de técnicas típicas de limpeza e dados, essas informações do
perfil são consolidadas em um metadado uniforme e multifacetado e passível de
fácil manipulação.
Em paralelo, com o uso de técnicas de linguagem natural,
produz-se um dicionário e uma biblioteca de expressões e hábitos gramaticais
personalizados para o indivíduo. Através dessa estrutura de dados, conseguimos
então construir uma ferramenta automática de assistência à composição de perfis
que sugere ao criador do perfil os melhores termos e expressões a serem
empregados para a mensagem de phishing.
Tal como acontece nas ferramentas de autocompletar - comuns
em smartphones e mecanismos de busca - esta ferramenta auxilia o hacker ético a
desenvolver conteúdos efetivamente compatíveis com as tendências linguísticas
do perfil criado, permitindo a criação de mensagens com alto nível de verossimilhança.
Sem querer ultrapassar a proposta inicial - de constituir
uma base automática para a produção de perfis individuais de alta eficiência
com base em metadados extraídos do mundo online, estamos seguros de que esta
técnica aponta o caminho para ferramentas ainda mais sofisticadas, visando - em
última instância - a análise preditiva das propensões dos usuários e a
correlação de eventos altamente complexos para a produção de técnicas de ataque
e defesa em ambientes virtuais.
O fundamental, por enquanto, é reafirmar nosso contínuo
esforço de atenção com as possibilidades reais de exploração de dados
(convencionais ou não estruturados), que hoje circulam na rede, como entidades
passíveis de manipulação em função de interesses legítimos ou ilegítimos. O grande
desafio dos profissionais de inteligência é o de vislumbrar estas brechas e
estar sempre um passo à frente dos agentes criminosos na identificação e
domínio dessas novas possibilidades.
Fonte: Administradores
Nenhum comentário:
Postar um comentário
Obrigado pelo participação!