Redes Sociais e a criação de clones para ações de phishing

Como sabemos, a principal condição de sucesso para as operações de phishing está na qualidade da isca. Isto é: na capacidade que uma mensagem eletrônica apresenta de levar o seu destinatário a tomar uma determinada ação (que ele deveria saber como sendo potencialmente arriscada), como baixar um arquivo eletrônico, ou enviar para o remetente uma informação relevante para sua própria segurança ou privacidade.

É por isso que, em ataques virtuais, a mensagem que transporta o malware vem, invariavelmente, travestida com o conteúdo de comunicados úteis ou apelativos, como falsos boletos bancários, ou camufladas em bilhetes íntimos, com promessas de atrações como fotografias de festas e confidências amorosas.

Explorado já em seus extremos e bastante repelido pelos alvos em potencial, este tipo de abordagem ‘vale tudo’ para o phishing vai se tornando pouco eficiente, o que exige dos atacantes o emprego de técnicas cada vez mais sofisticadas de abordagem e persuasão das vítimas.

No Black Hat Las Vegas 2013, os hackers éticos chamaram a atenção para este fenômeno, e especialistas em inteligência apresentaram novas metodologias que garantem ataques muito mais efetivos, a partir da garimpagem e análise de informações individuais e empresariais que circulam livremente na web.

Entre estas novas propostas estava a nossa, que lança mão de uma ferramenta denominada μphisher (ou microfisher). Ela propõe a exploração das redes sociais, de forma sistemática e entrecruzada. A ideia é consolidar o exato perfil das mensagens produzidas por um usuário em redes de interação social, conteúdos e compartilhamento de arquivos, como o Facebook, Twitter, Instagram, GetGlue, Triplt e LastFM.

Entendemos que a grande quantidade e variedade de mensagens postadas pelos usuários nesses diferentes meios oferecem preciosas pistas sobre os hábitos verbais desses indivíduos, posicionando estas redes como um celeiro de informação para a produção de metadados capazes de fornecer subsídios para ‘clones’ altamente verossímeis e, portanto, de grande eficiência em operações de phishing.

Propomos a exploração desse manancial de dados online das redes sociais, através do uso combinado de técnicas de pré-processamento de dados e processamento de linguagem natural. Com o emprego de tais ferramentas, torna-se possível coletar, analisar, indexar e rastrear grandes compostos de dados extraídos das redes sociais para compor uma esteira de produção dos “clones” virtuais.

É bem verdade que o uso de tais ferramentas já é amplamente empregado pelos próprios controladores das redes sociais, não sendo exatamente uma novidade. Sua aplicação, aliás, faz parte do arcabouço de condições que garante lucratividade para estas detentoras de redes, cuja atividade comercial consiste exatamente em absorver, concentrar, classificar, cruzar e vender informações de interesse dos negócios dos clientes.

Até por isto – e também em função da privacidade do usuário – as redes sociais costumam guardar a sete chaves o grosso das informações críticas resultantes de análises semânticas, comportamentais e relacionais, que dizem muito sobre a personalidade individual de cada usuário, seus hábitos, preferências e propensões.

Nossa proposta, no entanto, tem uma abrangência bem mais específica e pragmática. Não é nosso interesse – nesse momento – conhecer a fundo o membro de uma rede, a ponto de antever suas ações futuras ou relacioná-lo a uma ação ou causa ou produto compatível com os seus interesses. Queremos, sim, buscar “a imitação perfeita”, para produzir ataques potencialmente infalíveis em atividades de pentest, sendo que a mesma tecnologia poderia se prestar à validação dos perfis, proporcionando, dessa forma, ações defensivas igualmente mais bem embasadas.

Para a finalidade aqui proposta, o atacante não necessita quebrar qualquer barreira de informação imposta pelas redes sociais. Todas as pistas necessárias estão nas postagens públicas dos indivíduos e nos diversos tipos de APIs que as próprias redes sociais deixam em aberto para facilitar a sua integração com outras redes ou aplicações capazes de lhes fornecer mais e mais dados de usuários.

Nesse contexto, as técnicas de análise e processamento de linguagem natural são empregadas para identificar, mapear e tipificar os padrões linguísticos de um internauta-alvo, isolando, dessa maneira um padrão quase inconfundível. Seu vocabulário recorrente, o tamanho de suas frases, a frequência de duas opções morfológicas (quando e como emprega verbos, substantivos, adjetivos), os erros frequentes que comete, todos estes fatores combinados são utilizados para a criação de uma matriz de mensagens que tem a força da “impressão digital” do indivíduo.

Nossa abordagem μphisher compreende, inicialmente, as fases de identificação do perfil a ser criado o ”clone” e a coleta de suas diversas interações em diferentes redes, para a análise e construção do perfil virtual. Através de técnicas típicas de limpeza e dados, essas informações do perfil são consolidadas em um metadado uniforme e multifacetado e passível de fácil manipulação.

Em paralelo, com o uso de técnicas de linguagem natural, produz-se um dicionário e uma biblioteca de expressões e hábitos gramaticais personalizados para o indivíduo. Através dessa estrutura de dados, conseguimos então construir uma ferramenta automática de assistência à composição de perfis que sugere ao criador do perfil os melhores termos e expressões a serem empregados para a mensagem de phishing.

Tal como acontece nas ferramentas de autocompletar – comuns em smartphones e mecanismos de busca – esta ferramenta auxilia o hacker ético a desenvolver conteúdos efetivamente compatíveis com as tendências linguísticas do perfil criado, permitindo a criação de mensagens com alto nível de verossimilhança.

<->Sem querer ultrapassar a proposta inicial – de constituir uma base automática para a produção de perfis individuais de alta eficiência com base em metadados extraídos do mundo online, estamos seguros de que esta técnica aponta o caminho para ferramentas ainda mais sofisticadas, visando – em última instância – a análise preditiva das propensões dos usuários e a correlação de eventos altamente complexos para a produção de técnicas de ataque e defesa em ambientes virtuais.

O fundamental, por enquanto, é reafirmar nosso contínuo esforço de atenção com as possibilidades reais de exploração de dados (convencionais ou não estruturados), que hoje circulam na rede, como entidades passíveis de manipulação em função de interesses legítimos ou ilegítimos. O grande desafio dos profissionais de inteligência é o de vislumbrar estas brechas e estar sempre um passo à frente dos agentes criminosos na identificação e domínio dessas novas possibilidades. 

(*) Joaquim Espinhara e Ulisses Albuquerque são consultores de Segurança da Trustwave