Using Online Ac,vity as Digital Fingerprints to Create a - - PowerPoint PPT Presentation

▶

Mar 31, 2023 140 likes •468 views

Using Online Ac,vity as Digital Fingerprints to Create a Be8er Spear Phisher Joaquim Espinhara & Ulisses Albuquerque JEspinhara@trustwave.com

SLIDE 1

Using ¡Online ¡Ac,vity ¡as ¡Digital ¡ Fingerprints ¡to ¡Create ¡a ¡Be8er ¡ Spear ¡Phisher ¡

Joaquim ¡Espinhara ¡& ¡Ulisses ¡Albuquerque ¡ ¡JEspinhara@trustwave.com ¡ ¡UAlbuquerque@trustwave.com ¡ ¡

SLIDE 2

Introduc=on ¡
Mo=va=on ¡
Background ¡
HowStuffWorks ¡

– Our ¡Approach ¡

µphisher ¡
Demo ¡
Future ¡Work ¡
Conclusion ¡

Agenda ¡

SLIDE 3

Joaquim ¡Espinhara ¡

– From ¡Aracaju, ¡Brazil ¡ – Security ¡Consultant ¡at ¡Trustwave ¡Spiderlabs ¡

Ulisses ¡Albuquerque ¡

– Coder ¡for ¡offense ¡& ¡defense… ¡as ¡long ¡as ¡it’s ¡fun! ¡ – Lab ¡Manager ¡at ¡Trustwave ¡Spiderlabs ¡

About ¡us ¡

SLIDE 4

INTRODUCTION ¡

SLIDE 5

OUR ¡MOTIVATION ¡

SLIDE 6

Why? ¡
Tools ¡available ¡

Our ¡Mo,va,on ¡

SLIDE 7

BACKGROUND ¡

SLIDE 8

Social ¡Networks ¡
Social ¡Engineering ¡
Data ¡Mining ¡
Natural ¡Language ¡Processing ¡-‑ ¡NLP ¡

Background ¡

SLIDE 9

Social ¡Networks ¡

Background ¡

Facebook ¡ TwiYer ¡ Linkedin ¡ Others ¡

SLIDE 10

Social ¡Networks ¡

– Communica=on ¡channel ¡for ¡keeping ¡in ¡touch ¡with ¡ someone ¡(Facebook, ¡TwiYer) ¡ – Media ¡sharing ¡(Instagram) ¡ – Specialized ¡networks ¡(GetGlue, ¡TripIt, ¡LastFM) ¡

Background ¡

SLIDE 11

Social ¡Engineering ¡

– Phishing ¡

Background ¡

hYp://www.d00med.net/uploads/0d832c77559a2070a766f899e7eg783.png ¡ ¡

SLIDE 12

Data ¡Mining ¡

– What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡

¡ ¡

Background ¡

SLIDE 13

Data ¡Mining ¡

¡ ¡

Background ¡

Raw ¡data ¡set ¡

"Had ¡lunch ¡with ¡ @urma ¡and ¡ @jespinhara ¡today ¡ #tgif ¡#lunch" ¡

Data ¡cleaning ¡

"Had ¡lunch ¡with ¡ @urma ¡and ¡ @jespinhara ¡ today" ¡

Data ¡integra=on ¡

"Had ¡lunch ¡with ¡ @urma ¡and ¡ @jespinhara ¡ today" ¡

Data ¡ normaliza=on ¡

"Had ¡lunch ¡with ¡ @urma ¡and ¡ @jespinhara ¡today ¡ (2013-‑06-‑05)" ¡

SLIDE 14

Natural ¡Language ¡Processing ¡– ¡NLP ¡

– What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ – Text ¡analysis ¡

Background ¡

SLIDE 15

Natural ¡Language ¡Processing ¡-‑ ¡NLP ¡

Background ¡

hYp://webu2.upmf-‑grenoble.fr/sciedu/nlpsl/nlpsl.jpg ¡

SLIDE 16

HOWSTUFFWORKS ¡

SLIDE 17

Iden=fying ¡ the ¡subject ¡to ¡ profile ¡ Collec=ng ¡ social ¡ network ¡data ¡ Analyzing ¡and ¡ building ¡the ¡ profile ¡

Our ¡Approach ¡

SLIDE 18

The ¡Unknown ¡Subject ¡(Unsub) ¡

Our ¡Approach ¡

Joaquim ¡ Espinhara ¡ @jespinhara ¡ (TwiYer) ¡ joaquim.espinhara ¡ (Facebook) ¡ uid=12345 ¡ (LinkedIn) ¡

SLIDE 19

Data ¡Collec=on ¡

– Social ¡Network ¡IDs ¡ – Official ¡APIs ¡ – Web ¡Scraping ¡ – OAuth ¡

Our ¡Approach ¡

SLIDE 20

Data ¡Collec=on ¡-‑ ¡TwiYer ¡

Our ¡Approach ¡

Applica=on ¡ID ¡ (µphisher) ¡ User ¡ID ¡ (@jespinhara) ¡

TwiYer ¡ @urma ¡ @effffn ¡ @SpiderLabs ¡

SLIDE 21

µPHISHER ¡

SLIDE 22

Reference ¡implementa=on ¡
Goals ¡

– Validate ¡poten=al ¡unsub ¡content ¡ – Assisted ¡textual ¡content ¡input ¡

µphisher ¡

SLIDE 23

Web ¡Applica=on ¡
TwiYer ¡only ¡(for ¡now) ¡
Open ¡Source ¡(GPLv3) ¡

µphisher ¡

SLIDE 24

µphisher ¡

Ruby ¡on ¡ Rails ¡ MongoDB, ¡ Mongoid ¡ DelayedJob ¡ OAuth ¡

µphisher ¡

SLIDE 25

µphisher ¡

Authen=ca=on ¡ Unsub ¡ Registra=on ¡ Data ¡Source ¡ Registra=on ¡ Data ¡ Collec=on ¡ Work ¡Set ¡ Defini=on ¡ Work ¡Set ¡ Analysis ¡ Unsub ¡Profile ¡

SLIDE 26

µphisher ¡

SLIDE 27

DEMO ¡ (FINGERS ¡CROSSED) ¡

SLIDE 28

DOWNLOAD ¡

HTTPS://GITHUB.COM/URMA/MICROPHISHER ¡

SLIDE 29

Support ¡for ¡addi=onal ¡data ¡sources ¡
Machine ¡learning ¡
More ¡metrics ¡and ¡feedback ¡for ¡assisted ¡input ¡

Future ¡Work ¡

SLIDE 30

CONCLUSION ¡

SLIDE 31

Using ¡Online ¡Ac,vity ¡as ¡Digital ¡ Fingerprints ¡to ¡Create ¡a ¡Be8er ¡ Spear ¡Phisher ¡

– Our ¡Approach ¡

Agenda ¡

– From ¡Aracaju, ¡Brazil ¡ – Security ¡Consultant ¡at ¡Trustwave ¡Spiderlabs ¡

– Coder ¡for ¡offense ¡& ¡defense… ¡as ¡long ¡as ¡it’s ¡fun! ¡ – Lab ¡Manager ¡at ¡Trustwave ¡Spiderlabs ¡

About ¡us ¡

INTRODUCTION ¡

OUR ¡MOTIVATION ¡

Our ¡Mo,va,on ¡

BACKGROUND ¡

Background ¡

Background ¡

– Communica=on ¡channel ¡for ¡keeping ¡in ¡touch ¡with ¡ someone ¡(Facebook, ¡TwiYer) ¡ – Media ¡sharing ¡(Instagram) ¡ – Specialized ¡networks ¡(GetGlue, ¡TripIt, ¡LastFM) ¡

Background ¡

– Phishing ¡

Background ¡

– What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡

¡ ¡

Background ¡

¡ ¡

Background ¡

– What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ – Text ¡analysis ¡

Background ¡

Background ¡

HOWSTUFFWORKS ¡

Iden=fying ¡ the ¡subject ¡to ¡ profile ¡ Collec=ng ¡ social ¡ network ¡data ¡ Analyzing ¡and ¡ building ¡the ¡ profile ¡

Our ¡Approach ¡

Our ¡Approach ¡

Joaquim ¡ Espinhara ¡ @jespinhara ¡ (TwiYer) ¡ joaquim.espinhara ¡ (Facebook) ¡ uid=12345 ¡ (LinkedIn) ¡

– Social ¡Network ¡IDs ¡ – Official ¡APIs ¡ – Web ¡Scraping ¡ – OAuth ¡

Our ¡Approach ¡

Our ¡Approach ¡

TwiYer ¡ @urma ¡ @effffn ¡ @SpiderLabs ¡

µPHISHER ¡

– Validate ¡poten=al ¡unsub ¡content ¡ – Assisted ¡textual ¡content ¡input ¡

µphisher ¡

µphisher ¡

µphisher ¡

Ruby ¡on ¡ Rails ¡ MongoDB, ¡ Mongoid ¡ DelayedJob ¡ OAuth ¡

µphisher ¡

µphisher ¡

µphisher ¡

DEMO ¡ (FINGERS ¡CROSSED) ¡

DOWNLOAD ¡

HTTPS://GITHUB.COM/URMA/MICROPHISHER ¡

Future ¡Work ¡

CONCLUSION ¡

THANK ¡YOU! ¡