No outono passado, o escândalo em torno da renúncia do deputado Tory, Brooks Newmark, causou polêmica sobre o uso das mídias sociais para seduzir. O infeliz Sr. Newmark, que achava que estava conversando com uma garota de 21 anos chamada Sophie pelo Twitter, estava de fato compartilhando imagens lascivas com um repórter do Sunday Mirror..

Ele foi vítima de armadilha ou um cara foi flagrado agindo de forma duvidosa? O júri ainda está fora disso. Mas uma coisa é certa: as mídias sociais agora estão sendo usadas de várias formas diferentes.

Tome, por exemplo, segurança da informação. Muitas empresas monitoram a atividade da rede e examinam o email em busca de anexos maliciosos. Mas os ataques continuam a escorregar pela rede, com e-mails de phishing sendo um dos métodos mais comuns de ataque.

As tentativas de phishing atraem os usuários para clicar em um link suspeito ou abrir um arquivo com nome obscuro enviado em um email. O usuário faz o que o atacante esperava, abre o e-mail ou clica no link e a cadeia de interceptação começa, estabelecendo um backdoor na rede da empresa. Voila, o invasor agora tem acesso à rede interna e pode começar a escalar os privilégios de acesso para obter dados realmente confidenciais.

Psicologia reversa

Mas o que acontece quando você inverte a psicologia desse ataque? Agora, a conta de e-mail foi deliberadamente criada e configurada em seu domínio apenas para fins de monitoramento de invasores. O e-mail 'usuário' é uma entidade falsa e você sabe que qualquer comunicação enviada para esse endereço de e-mail deve ser considerada como lixo eletrônico ou um ataque mal-intencionado. Em vez de ficar comprometido, você capturou uma amostra de malware e pode imediatamente começar a procurar outras instâncias de conteúdo semelhante enviadas a outras pessoas em sua empresa. A sua posição de detecção e resposta a incidentes melhora enormemente.

Usando contas de e-mail falsas, é possível criar uma fonte de inteligência de ameaças que é capaz de monitorar e-mails suspeitos em tempo real. Mas precisamos dar ao usuário de email uma identidade convincente que atrairá o hacker.

A maioria dos ataques direcionados começa com um ataque de spear phishing. Tais ataques contêm uma qualidade variável de pesquisa e criação de perfil, empregada pelo atacante para encontrar candidatos adequados para segmentar dentro da organização. Facebook, Google, LinkedIn e outras mídias são vasculhadas por informações e talvez até mesmo um pouco de engenharia social seja empregada, com o atacante bisbilhotando ou mesmo telefonando para a recepcionista para determinar quais funcionários valem a pena atingir. (É por essa razão que você deve instruir o pessoal administrativo a nunca divulgar nomes ou detalhes de contato).

Ao distribuir manualmente redes sociais com perfis atualizados regularmente, é possível dar identidades reais a nossos funcionários falsos. Essa técnica nos permite criar o que é conhecido nos círculos de segurança como um 'honeynet'. A ideia baseia-se num conceito inicialmente concebido por Clifford Stoll no início dos anos 80 e documentado em "The Cuckoo's Egg". Stoll foi a primeira pessoa a capturar e documentar hackers, o que levou à condenação do hacker Markus Hess, um espião da KGB que estava roubando a inteligência militar dos EUA..

  • Como o cenário de ameaças à segurança está se moldando para 2015

Isca suculenta

Ao criar uma honeynet, pense no conteúdo que seria atraente para o invasor. O que você faz? Qual propriedade intelectual você tem? E quanto aos dados de desempenho de negócios não liberados? Bancos de dados do cliente? Dados do cartão de crédito? Faça essas funções falsas relevantes para o conteúdo. As novas entradas são perfeitas buchas de canhão para uma campanha de spear phishing, já que elas não estão familiarizadas com processos internos, provavelmente ainda não tiveram induções de segurança e se sentem nervosas por falarem ou serem demitidas no caso de fazer algo bobo em seu desktop.

Funcionários com acesso a outros recursos, possivelmente com privilégios elevados, mas que podem não suspeitar ou ter conhecimento de ataques, também criam identidades falsas ideais. Quanto mais conexões genuínas eles têm, mais plausíveis eles são como pessoas reais. Portanto, é mais provável que eles sejam os destinatários de malwares direcionados e mais úteis são as informações sobre ameaças que recebemos.

Manter vários perfis de mídia social distintos e fazê-los parecer reais pode ser desgastante. Os bots do Twitter seriam o caminho ideal para preencher seus perfis no Twitter com conteúdo que parece novo, mas é sempre um risco: se for muito automatizado, torna-se óbvio que o perfil é falso..

Então é aí que um artigo interessante que apareceu no ano passado pode ajudar. Os autores de um algoritmo chamado Bot ou não? lançaram uma ferramenta que tenta determinar se um identificador do Twitter é genuíno. Ao usar a ferramenta para descobrir se o conteúdo da bot que estamos usando para preencher um perfil é detectável ou não, podemos determinar se ele passa por um funcionário legítimo..

Serviço público

Usando essa honeynet, torna-se possível verificar se há algum padrão semelhante nos logs de correio. É até mesmo possível fazer engenharia reversa do malware e descobrir para onde a conexão volta. Obter um endereço IP de amostra e de destino e enviá-lo para um site como o VirusTotal ou similar e você pode simplesmente salvar outra pessoa de ser comprometida também.

Então, é o enredo da mídia social ético? Acho que isso depende do motivo e do que a fachada pretende provar. Se a honeynet impede um ataque à empresa, torna pública uma possível exploração e detém hackers, parece ser ética e aconselhável para mim. E tenho certeza que Clifford Stoll aprovaria.

  • Ken Munro é sócio sênior da Pen Test Partners LLP