Using ¡Online ¡Ac,vity ¡as ¡Digital ¡ Fingerprints ¡to ¡Create ¡a ¡Be8er ¡ Spear ¡Phisher ¡ Joaquim ¡Espinhara ¡& ¡Ulisses ¡Albuquerque ¡ ¡JEspinhara@trustwave.com ¡ ¡UAlbuquerque@trustwave.com ¡ ¡
Agenda ¡ • Introduc=on ¡ • Mo=va=on ¡ • Background ¡ • HowStuffWorks ¡ – Our ¡Approach ¡ • µphisher ¡ • Demo ¡ • Future ¡Work ¡ • Conclusion ¡
About ¡us ¡ • Joaquim ¡Espinhara ¡ – From ¡Aracaju, ¡Brazil ¡ – Security ¡Consultant ¡at ¡Trustwave ¡Spiderlabs ¡ • Ulisses ¡Albuquerque ¡ – Coder ¡for ¡offense ¡& ¡defense… ¡as ¡long ¡as ¡it’s ¡fun! ¡ – Lab ¡Manager ¡at ¡Trustwave ¡Spiderlabs ¡
INTRODUCTION ¡
OUR ¡MOTIVATION ¡
Our ¡Mo,va,on ¡ • Why? ¡ • Tools ¡available ¡
BACKGROUND ¡
Background ¡ • Social ¡Networks ¡ • Social ¡Engineering ¡ • Data ¡Mining ¡ • Natural ¡Language ¡Processing ¡-‑ ¡NLP ¡
Background ¡ • Social ¡Networks ¡ Facebook ¡ Others ¡ TwiYer ¡ Linkedin ¡
Background ¡ • Social ¡Networks ¡ – Communica=on ¡channel ¡for ¡keeping ¡in ¡touch ¡with ¡ someone ¡(Facebook, ¡TwiYer) ¡ – Media ¡sharing ¡(Instagram) ¡ – Specialized ¡networks ¡(GetGlue, ¡TripIt, ¡LastFM) ¡
Background ¡ • Social ¡Engineering ¡ – Phishing ¡ hYp://www.d00med.net/uploads/0d832c77559a2070a766f899e7eg783.png ¡ ¡
Background ¡ • Data ¡Mining ¡ – What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ ¡ ¡
Background ¡ • Data ¡Mining ¡ ¡ ¡ Data ¡ Raw ¡data ¡set ¡ Data ¡cleaning ¡ Data ¡integra=on ¡ normaliza=on ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ @urma ¡and ¡ @urma ¡and ¡ @urma ¡and ¡ @urma ¡and ¡ @jespinhara ¡today ¡ @jespinhara ¡ @jespinhara ¡ @jespinhara ¡today ¡ #tgif ¡#lunch" ¡ today" ¡ today" ¡ (2013-‑06-‑05)" ¡
Background ¡ • Natural ¡Language ¡Processing ¡– ¡NLP ¡ – What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ – Text ¡analysis ¡
Background ¡ • Natural ¡Language ¡Processing ¡-‑ ¡NLP ¡ hYp://webu2.upmf-‑grenoble.fr/sciedu/nlpsl/nlpsl.jpg ¡
HOWSTUFFWORKS ¡
Our ¡Approach ¡ Iden=fying ¡ Collec=ng ¡ Analyzing ¡and ¡ the ¡subject ¡to ¡ social ¡ building ¡the ¡ profile ¡ network ¡data ¡ profile ¡
Our ¡Approach ¡ • The ¡Unknown ¡Subject ¡( Unsub ) ¡ @jespinhara ¡ (TwiYer) ¡ Joaquim ¡ joaquim.espinhara ¡ Espinhara ¡ (Facebook) ¡ uid=12345 ¡ (LinkedIn) ¡
Our ¡Approach ¡ • Data ¡Collec=on ¡ – Social ¡Network ¡IDs ¡ – Official ¡APIs ¡ – Web ¡Scraping ¡ – OAuth ¡
Our ¡Approach ¡ • Data ¡Collec=on ¡-‑ ¡TwiYer ¡ Applica=on ¡ID ¡ (µphisher) ¡ TwiYer ¡ @urma ¡ @effffn ¡ @SpiderLabs ¡ User ¡ID ¡ (@jespinhara) ¡
µPHISHER ¡
µphisher ¡ • Reference ¡implementa=on ¡ • Goals ¡ – Validate ¡poten=al ¡ unsub ¡content ¡ – Assisted ¡textual ¡content ¡input ¡
µphisher ¡ • Web ¡Applica=on ¡ • TwiYer ¡only ¡(for ¡now) ¡ • Open ¡Source ¡(GPLv3) ¡
µphisher ¡ MongoDB, ¡ DelayedJob ¡ Mongoid ¡ Ruby ¡on ¡ OAuth ¡ Rails ¡ µphisher ¡
µphisher ¡ Unsub ¡ Data ¡Source ¡ Data ¡ Work ¡Set ¡ Work ¡Set ¡ Authen=ca=on ¡ Unsub ¡Profile ¡ Registra=on ¡ Registra=on ¡ Collec=on ¡ Defini=on ¡ Analysis ¡
µphisher ¡
DEMO ¡ (FINGERS ¡CROSSED) ¡
DOWNLOAD ¡ HTTPS://GITHUB.COM/URMA/MICROPHISHER ¡
Future ¡Work ¡ • Support ¡for ¡addi=onal ¡data ¡sources ¡ • Machine ¡learning ¡ • More ¡metrics ¡and ¡feedback ¡for ¡assisted ¡input ¡
CONCLUSION ¡
THANK ¡YOU! ¡
Recommend
More recommend
