Beveiligingsonderzoekers voeren gerichte phishing-acties uit met neuraal netwerk

Twee onderzoekers van het bedrijf ZeroFOX hebben op Black Hat een manier gepresenteerd om gerichte phishingacties, oftewel spear phishing, uit te voeren op Twitter. Daarbij maken zij gebruik van een tool op basis van een neuraal netwerk.

De tool heet 'snap_r' en zal binnenkort door de onderzoekers vrijgegeven worden. In hun presentatie gingen zij in op het feit dat phishing op dit moment grotendeels geautomatiseerd gebeurt, maar dat dit niet het geval is voor de gerichte variant. Criminelen zouden binnenkort echter ook de beschikking over machine learning kunnen krijgen en daarom willen zij de aandacht op dit probleem vestigen. Hun tool richt zich op 'waardevolle' Twitter-gebruikers en stuurt een bericht op basis van eerdere tweets met daarin een kwaadaardige link.

De onderzoekers kozen voor Twitter, omdat het een api heeft die eenvoudig door een bot gebruikt kan worden. Daarnaast is het taalgebruik vaak kort en wordt er veel gebruikgemaakt van link shorteners, waardoor kwaadaardige url's te verbergen zijn. Ook zouden gebruikers op Twitter een bericht sneller vertrouwen. Het bot-account moet daarom zelf voorzien zijn van een geloofwaardig profiel en af en toe ook tweets uitsturen zonder links erin, zodat Twitter geen blokkade oplegt.

De bot kiest zijn doelwitten op basis van het aantal posts en leeftijd van het account. Daarna doorzoekt deze de profielgegevens en tweets van het doelwit. Aan de hand van deze gegevens stelt de bot op basis van een neuraal netwerk een eigen tweet op, waarvan de inhoud overeen moet komen met de interesses of actuele thema's van het doelwit. Daarbij houdt de tool rekening met de meest actieve Twitter-tijden van het slachtoffer om zo succesvol mogelijk te zijn. Het trainen van een neuraal netwerk duurde volgens de onderzoekers ongeveer zes dagen met meer dan 2 miljoen tweets.

Het genereren van een bericht kan overigens ook via Markov-ketens. Dit gaat veel sneller, maar levert ook inhoud van een mindere kwaliteit op. Als eenmaal een tweet is opgesteld, wordt deze voorzien van een verkorte link naar een kwaadaardige site, dat kan bijvoorbeeld een nagemaakte inlogpagina of een exploitkit zijn. Daarbij maken de bedenkers van de tool gebruik van de goo.gl-dienst, omdat deze ook kwaadaardige links wil verkorten. Bovendien biedt deze allerlei analytics-mogelijkheden.

Tijdens een test wist de bot 819 slachtoffers te bereiken, waarvan er 275 op de meegestuurde link klikten. Zij hadden ook een mens dezelfde taak laten uitvoeren, door berichten te knippen en te plakken. Deze bereikte 129 personen in dezelfde tijd, waarvan er 49 op de link klikten. Het feit dat Twitter voor een proof of concept is uitgekozen, betekent echter niet dat de bot alleen daarvoor geschikt is. Elke andere social mediasite zou geschikt zijn voor de tool.

snap_r bot

Door Sander van Voorst

Nieuwsredacteur

Feedback • 05-08-2016 08:07 22

05-08-2016 • 08:07

22

Lees meer

Onderzoeker toont hoe autofill-browserfunctie voor phishing gebruikt kan worden
Onderzoeker toont hoe autofill-browserfunctie voor phishing gebruikt kan worden Nieuws van 6 januari 2017
Onderzoeker vindt op Nederland gerichte phishingserver
Onderzoeker vindt op Nederland gerichte phishingserver Nieuws van 31 oktober 2016
Schade door fraude bij internetbankieren is met 82 procent gedaald
Schade door fraude bij internetbankieren is met 82 procent gedaald Nieuws van 15 september 2016
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens Nieuws van 7 juni 2016
Kwaadwillenden achterhaalden wachtwoord minister Kamp met phishing
Kwaadwillenden achterhaalden wachtwoord minister Kamp met phishing Nieuws van 12 mei 2016
Microsoft spreekt van gecoördineerde Tweet-aanval tegen chatbot
Microsoft spreekt van gecoördineerde Tweet-aanval tegen chatbot Nieuws van 26 maart 2016
Twitter dringt spam met 40 procent terug
Twitter dringt spam met 40 procent terug Nieuws van 21 augustus 2014
'Meerderheid bots op Twitter kan niet worden ontdekt'
'Meerderheid bots op Twitter kan niet worden ontdekt' Nieuws van 30 mei 2014
Meer producten en artikelen
Netwerk en systeembeheer Kunstmatige intelligentie Phishing Security

Reacties (22)

-Moderatie-faq
22
22
9
2
0
10
Wijzig sortering
japborst 5 augustus 2016 09:00
Op Markov-chains gebaseerde Twitter accounts bestaan inderdaad al eventjes. Zo was er ook de - vrij hilarische - https://twitter.com/Horse_ebooks. Wat extra uitleg is te vinden via "Help mijn Twitterbot is leuker dan ik" http://timdegier.tumblr.c...itterbot-is-leuker-dan-ik, welke ook verwijst naar de mooie GitHub repo om een Markov-chain gebaseerde Twitter-bot te maken https://github.com/mispy/twitter_ebooks.

Wat hier gebeurt is natuurlijk wel next-level. Impressive. Vrees wel een beetje voor de velen die in dit soort vallen gaan lopen. Educatie van mensen wat wel en niet te vertrouwen is, is erg op zijn plaats. Daarnaast zijn services zoals Google Safe Browsing (https://developers.google.com/safe-browsing/) alleen maar toe te juichen
Jeanpaul145 @japborst5 augustus 2016 11:53
Het probleem met educatie zoals het nu zou worden aangeboden is dat dat een eenmalige campagne zou zijn die misschien 1-2 jaar duurt.
Dat helpt, maar wat nu cutting-edge is is dat over 5 jaar waarschijnlijk niet meer. Wat gebeurt er dan met de kennis die de algemene bevolking heeft opgedaan in die campagne?
Firefly III 5 augustus 2016 09:07
Criminelen zouden binnenkort echter ook de beschikking over machine learning kunnen krijgen en daarom willen zij de aandacht op dit probleem vestigen.
Hoezo binnenkort? Waar komt toch die blijvende neiging vandaan om kwaadwillende gebruikers, criminelen, scammers en andere onwelvoegelijke partijen te onderschatten?

Machine learning? Google heeft er een kant-en-klare API voor. Tien minuten werk en ik heb een appje dat mijn vakantiefoto's tagt met land, plaats, wat er te zien is, en eventuele bekende gebouwen. Machine learning is ook gewoon mee te werken.

Het wachten is niet tot ze "er de beschikking" over hebben, want dat hebben ze allang. Het wachten is nu op spullen die er ook echt gebruik van maken.

En waren ze daar nog niet aan begonnen, dan helpen dit soort onderzoekers ze wel een stapje vooruit :P
Iblies @Firefly III5 augustus 2016 11:13
Waar die neiging vandaan komt,
die is er altijd al geweest.

Meest bekende zal wel
https://nl.wikipedia.org/wiki/Cesare_Lombroso#Criminologie zijn. Criminelen zijn dom, hebben moeite met denken en iets bedenken is helemaal onmogelijk.

Kwestie van tijd voordat een soortgelijk systeem zal worden gebruikt voor het beïnvloeden van beurzen. Twitter, Facebook en andere media zijn van invloed voor tendensen en een klein zetje is daarbij soms al voldoende.
CAPSLOCK2000
@Firefly III8 augustus 2016 14:49
Hoezo binnenkort? Waar komt toch die blijvende neiging vandaan om kwaadwillende gebruikers, criminelen, scammers en andere onwelvoegelijke partijen te onderschatten?
De meeste criminelen zijn niet zo slim, dan hadden ze wel een fatsoenlijke baan gevonden.
De denkfout is dat onze instincten niet overweg kunnen met hoe groot internet is.

We passen dezelfde logica toe als bij het afsluiten van onze fiets. Daar denken we "Dit fietsslot houdt 95% van de dieven tegen en de kans dat ik een dief uit die laatste 5% tegenkom bij mij in het dorp is erg klein." Op internet werkt het niet zo, daar wordt je door alle boeven tegelijk aangevallen en de kans dat je een slimme boef tegenkomt is behoorlijk groot.

Dat neemt niet weg dat er maar een vrij beperkt aantal mensen bezig is met de nieuwste wetenschappelijk inzichten te combineren met een succesvolle carriere in de misdaad. De techniek is nu echter zo ver dat je ook met minder kennis toe kan. Nog even en het is voor iedereen toegankelijk, inclusief het domme tuig dat crimineel is.
Autriv 5 augustus 2016 08:37
"Tijdens een test wist de bot 819 slachtoffers te bereiken, waarvan er 275 op de meegestuurde link klikten. "

Dat zijn toch best veel mensen die op een phisinglink klikken... ;(
Amito @Autriv5 augustus 2016 08:46
Het is niet verwonderlijk omdat het hun interessegebied is en je de domeinnaam niet kunt zien doordat het url verkort is. Daarnaast is dit een nieuwe manier om 'troep' te verspreiden waardoor je minder attent bent. Het is een vrij effectieve manier om devices te besmetten waar je als mens heel scherp op moet zijn wil je niet in hun val lopen.
Autriv @Amito5 augustus 2016 08:52
Als systeembeheerder / servicedesker kan ik hier wel om janken ;(
Elke dag doen we zo ons best om onze gebruikers in te lichten etc. etc.
Countess @Autriv5 augustus 2016 09:24
maar voor een gebruiker is hier niks aan te zien. Het is een tweet net als elke andere die ze van gewone mensen zouden kunnen krijgen.

behalve twitter niet gebruiker is er weinig dat je kan doen om gebruikers hier preventief tegen beschermen. virus scanner bijvoorbeeld werken pas achteraf.
Anoniem: 582487 @Autriv5 augustus 2016 10:07
you can teach a monkey how to throw a banana, but you can't blame it for being stupid in the first place.

^ gaat ook wel een beetje op bij mensen.. je kan ELKE IT cursus/overheids campagne (KLIK WEG!)
in de mix gooien maar als mensen maar genoeg 'triggers' krijgen. klikken ze vanzelf wel op 'deze vakantie foto van je kleinzoon in spanje' link die heel vrolijk naar een malware netwerkje leid ipv een vakantie foto van oma's kleinzoon in spanje
Autriv @Anoniem: 5824875 augustus 2016 10:14
Heerlijk is het eigenlijk, meestal is het inderdaad gewoon "PEBCAK".
xalvo @Autriv5 augustus 2016 10:24
Ik ben het helemaal met je eens dat dit veel mensen zijn. Maar gezien de targetting die ze doen is het ook weer niet heel erg vreemd.
Ik ben daarom eigenlijk meer benieuwd welk aandeel van de klikkers uiteindelijk hun informatie op de phising site in hebben gevoerd en/of als het een malware site is in hoeverre deze door kwetsbaarheden op de systemen van die mensen in staat was om deze te installeren.
Anoniem: 470811 @Autriv5 augustus 2016 11:29
Klopt, en dat gaat helaas ook niet veranderen (het klikken op links) :). Daarop heb ik eens een blogpost geschreven.

Need Security Awareness? You're doomed!
http://www.teusink.eu/201...areness-youre-doomed.html

[Reactie gewijzigd door Anoniem: 470811 op 22 juli 2024 14:22]

inorde 5 augustus 2016 09:13
Tijd om iedereen te adviseren om maar helemaal niet meer op links te klikken in emails, wat eigenlijk uberhaupt een goed plan is.
Accretion @inorde5 augustus 2016 09:27
Als enkel het klikken op een link voldoende is om je computer om zeep te brengen, dan moet er toch echt iets veranderen.
Ik heb mij er de laatste tijd niet (meer) in verdiept, maar vaak moet je het bestand dan nog uitvoeren, toch?
inorde @Accretion5 augustus 2016 11:02
Het gaat bij phishing vaak om het misleiden van het slachtoffer alsof hij/zij op een andere site zit. Maar de mogelijkheden zijn eindeloos.

Sommige beveiligingslekken vereisen een beetje javascript. Normaal wordt dit niet gehost op de bekendere websites, want die advertenties worden gecontroleerd, maar bij phishing heb je vrij spel, als de mensen je website bezoeken.

Hoewel er vaak nog een actie van het slachtoffer wordt vereist, is een klik snel gedaan om een extensie toestemming te geven tot meer in je systeem. Welke de weg openlegt tot nog meer.
Anoniem: 582487 @Accretion5 augustus 2016 11:04
dat klopt. meeste bestanden gaan via via via.. (ingepakt) en dan kom je uiteindelijk ergens.
maar vaak zijn click bait links, niks meer als browser hijackers.. naar bijvoorbeeld malafide internet bankieren websites om vervolgens via die weg inlog gegevens te verkrijgen etc.

of een achtergrond programma wat je pc laat meedraaien als zombie in een (bitcoin) mining netwerk oid. of als phising verspreider. waar grote namen voor betalen zodat iedereen toch maar weer die viagra advert te zien krijgt op opa's computer. EN de rest van de familie natuurlijk ook, want hun email adressen staan gewoon in het adres boekje van outlook.
Anoniem: 582487 @inorde5 augustus 2016 10:17
'you can teach a monkey how to throw a banana, but you can't blame it for being stupid in the first place.'

ze kunnen nog zoveel geld uitgeven aan campagnes enzovoort maar mensen blijven domme wezens.. en dat is gewoon bij een boel mensen niet uit het 'systeem' te krijgen jammer genoeg.
GuruMeditation 5 augustus 2016 08:11
-verkeerd artikel-

@Mysticyx

De reactie was correct, had hem alleen onder een verkeerd artikel gezet ;) (had meerdere tabjes open, op de de verkeerde tab beginnen te typen)

[Reactie gewijzigd door GuruMeditation op 22 juli 2024 14:22]

mysticyx @GuruMeditation5 augustus 2016 09:56
Beetje stom om het artikel de schuld te geven, hè? Verkeerde reactie had je beter kunnen zeggen.
beerse 5 augustus 2016 08:55
Als een bot 33,5% vangst heeft en een echt mens tot 37,9% dan zou ik zeggen dat deze tool al bijna een Turing machine is. Niet slecht voor een een paar hackers.
z.jeroen @beerse5 augustus 2016 09:01
Je haalt Turing complete en Turing test door elkaar.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq