Målrettet phishing-robot på twitter demonstrert under Black-hat konferansen i juni
Vi hører stadig om målrettede phishing angrep på sosiale medier. Når meldingen man får virker relevant og har få språklige feil er det lett å la seg lure. Hittil har det vært rimelig å anta at målrettede angrep krever en del arbeid av de som står bak. For å kunne skrive disse meldingene trenger man informasjon om brukeren, venner og hvilke tema vedkommende interesserer seg for. Under Black Hat konferansen i Las Vegas i begynnelsen av august ble det demonstrert et nytt verktøy som automatiserer hele prosessen. John Seymour og Philip Tully fra Zerofox, et amerikansk firma som hjelper organisasjoner å beskytte seg mot trusler i sosiale medier, presenterte SNAP_R. En phishing-robot som identifiserer aktive brukere på twitter og velger seg ut mål basert på hvor mange følgere de har og antall twittermeldinger. SNAP_R sender disse brukerne twittermeldinger med innhold som matcher det brukeren pleier å twitre om og en “phishing” lenke.
Utviklerne har i sine forsøk hatt en suksessrate på opptil 60%, mens det vanlige er 5-14% for phishing angrep gjort i stor skala. Twitter med sine korte meldinger, har brukere som er vant til forkortede URL-er og unøyaktig språk. Det gjør SNAP_R mye mer effektivt enn lignende forsøk gjort med e-post.
NorSIS anbefaler
Kilde
Black hat 2016: