スピアフィッシングは、ソーシャルエンジニアリング攻撃をまとめようとする犯罪者にとってますます容易になっています。これは、あなた自身がオンラインで投稿したデータのおかげです。
Trustwaveの研究者であるJoaquim EspinharaとUlisses Albuquerqueは、攻撃者はTwitter、Facebook、Instagram、Foursquare、およびその他のオンラインプロパティの投稿をマイニングして、人々が自分自身について提供する情報を見つけるだけでなく、頻繁に使用される単語などの人々の執筆スタイルを模倣します木曜日のプレゼンテーション。 この情報はすべて、実際に被害者が知っている誰かのように聞こえるメッセージを作成するために使用されます。
多くの攻撃メールは、実際には、被害者が知っている本物の人間の発言のように聞こえないため、悪意があると認識されています。 しかし、攻撃者がメッセージの口調を整えることができれば、彼らはその犠牲者を捕まえる可能性が高い、とエスピンハラとアルバカーキは言った。
マイクロフィッシャー
Trustwaveの研究者は、自分の主張を証明するために、会議で公開ツールを分析し、各個人のコミュニケーションスタイルの「指紋」を作成する新しいツールをリリースしました。 Microphisherは、自然言語処理を使用して、ソーシャルネットワークや他のオンラインサイトの公開投稿を分析します。 Twitterでハッシュタグを使用する方法、一般的な文章の長さ、一般的に書くトピックなどはすべて、指紋の判別に使用できます、とAlburquerque氏は述べています。
Alphiquerher氏によると、Microphisherは組織のITセキュリティの向上を支援することを目的としています。 Trustwave SpiderLabsは、組織がスピアフィッシングを阻止するのにどれほど効果的であるかを判断するために、侵入テストとその他の社会的熱狂テストを頻繁にまとめています。 Microphisherを使用すると、特定の個人が書くものにスタイルと内容が似ているメッセージを作成できます。 より自然な響きと話題のメッセージにより、Trustwaveは組織のセキュリティの準備状況をより効果的にテストできるとAlburquerque氏は述べています。
攻撃者がMicrophisherでCEOのTwitterフィードのコンテンツを分析すると想像してください。 その後、彼らは自分のスタイルを模倣したメッセージを作成し、他の従業員に送信することができます。従業員は電子メールのリンクをクリックするか、添付ファイルを開きます。
また、ツールを使用して、どの投稿が誰かによって合法的に作成されたか、どの投稿が偽造されたかを判断することもできます。 「送信者のTwitterアカウントを知っていれば、同じトリックを使用して電子メールが現実的かどうかを評価できます」とAlburquerque氏は述べています。
Microphisherは、統計分析に基づいて、書き込まれているメッセージが電子メールプロファイルにどれだけ近いかを判断するため、信頼できるフィッシングメッセージを自動的に生成するために使用することはできません。
おげんきで
いつものように、人々はソースに関係なく、ランダムな未知のリンクをクリックしたり、添付ファイルを開いたりしないでください。 説得力のある偽物を作成するためにオンラインで十分な情報を入手できることがますます明らかになっているため、情報の送信者が誰であるかを知っていても関係ありません。
