Twee onderzoekers van het bedrijf ZeroFOX hebben op Black Hat een manier gepresenteerd om gerichte phishingacties, oftewel spear phishing, uit te voeren op Twitter. Daarbij maken zij gebruik van een tool op basis van een neuraal netwerk.
De tool heet 'snap_r' en zal binnenkort door de onderzoekers vrijgegeven worden. In hun presentatie gingen zij in op het feit dat phishing op dit moment grotendeels geautomatiseerd gebeurt, maar dat dit niet het geval is voor de gerichte variant. Criminelen zouden binnenkort echter ook de beschikking over machine learning kunnen krijgen en daarom willen zij de aandacht op dit probleem vestigen. Hun tool richt zich op 'waardevolle' Twitter-gebruikers en stuurt een bericht op basis van eerdere tweets met daarin een kwaadaardige link.
De onderzoekers kozen voor Twitter, omdat het een api heeft die eenvoudig door een bot gebruikt kan worden. Daarnaast is het taalgebruik vaak kort en wordt er veel gebruikgemaakt van link shorteners, waardoor kwaadaardige url's te verbergen zijn. Ook zouden gebruikers op Twitter een bericht sneller vertrouwen. Het bot-account moet daarom zelf voorzien zijn van een geloofwaardig profiel en af en toe ook tweets uitsturen zonder links erin, zodat Twitter geen blokkade oplegt.
De bot kiest zijn doelwitten op basis van het aantal posts en leeftijd van het account. Daarna doorzoekt deze de profielgegevens en tweets van het doelwit. Aan de hand van deze gegevens stelt de bot op basis van een neuraal netwerk een eigen tweet op, waarvan de inhoud overeen moet komen met de interesses of actuele thema's van het doelwit. Daarbij houdt de tool rekening met de meest actieve Twitter-tijden van het slachtoffer om zo succesvol mogelijk te zijn. Het trainen van een neuraal netwerk duurde volgens de onderzoekers ongeveer zes dagen met meer dan 2 miljoen tweets.
Het genereren van een bericht kan overigens ook via Markov-ketens. Dit gaat veel sneller, maar levert ook inhoud van een mindere kwaliteit op. Als eenmaal een tweet is opgesteld, wordt deze voorzien van een verkorte link naar een kwaadaardige site, dat kan bijvoorbeeld een nagemaakte inlogpagina of een exploitkit zijn. Daarbij maken de bedenkers van de tool gebruik van de goo.gl-dienst, omdat deze ook kwaadaardige links wil verkorten. Bovendien biedt deze allerlei analytics-mogelijkheden.
Tijdens een test wist de bot 819 slachtoffers te bereiken, waarvan er 275 op de meegestuurde link klikten. Zij hadden ook een mens dezelfde taak laten uitvoeren, door berichten te knippen en te plakken. Deze bereikte 129 personen in dezelfde tijd, waarvan er 49 op de link klikten. Het feit dat Twitter voor een proof of concept is uitgekozen, betekent echter niet dat de bot alleen daarvoor geschikt is. Elke andere social mediasite zou geschikt zijn voor de tool.