视频: Te Bote Remix [BEATS] - Ozuna Ft. Bad Bunny, Casper, Nio García, Darell y Nicky (十一月 2024)
研究人员在拉斯维加斯举行的Black Hat安全会议上的一次会议上说,鱼叉式网络钓鱼对于试图进行社会工程攻击的犯罪分子越来越容易,这全都归功于您自己在线发布的数据。
Trustwave的研究人员Joaquim Espinhara和Ulisses Albuquerque表示,攻击者在Twitter,Facebook,Instagram,Foursquare和其他在线资源上挖掘帖子,以查找人们提供的有关自己的信息,还可以模仿人们的写作风格(例如常用词)。星期四的演讲。 所有这些信息都用于制作一条实际上听起来像受害者会认识的人的消息。
实际上,许多攻击电子邮件被识别为恶意电子邮件,恰恰是因为它们听起来不像受害者知道的真实人物会说的话。 Espinhara和Alburquerque说,但是如果攻击者能够改善信息的语气,那么他们很可能会诱捕该受害者。
微钓鱼器
为了证明自己的观点,Trustwave的研究人员在会议上发布了一种新工具,该工具可以分析公开帖子并为每个人的交流方式创建“指纹”。 Microphisher使用自然语言处理来分析社交网络和其他在线站点上的公共帖子。 Alburquerque说,即使您在Twitter上使用主题标签的方式,典型句子的时长以及通常撰写的主题都可以用于确定指纹。
Alphiquerque说,Microphisher旨在帮助组织提高其IT安全性。 Trustwave SpiderLabs经常将渗透测试和其他社交工程测试结合在一起,以确定组织在打击鱼叉式网络钓鱼方面的有效性。 Microphisher可用于制作样式和内容与特定个人所写内容相似的消息。 Alburquerque说,有了更自然的声音和主题信息,Trustwave可以更有效地测试组织的安全准备情况。
想象一下,如果攻击者使用Microphisher分析CEO的Twitter feed的内容。 他们说,他们然后可以制作一条模仿他或她的风格的消息,然后将其发送给其他员工,他们可能会单击电子邮件中的链接或打开附件,因为这听起来像首席执行官通常会写的东西。
反之亦然,其中该工具可用于确定某人合法撰写了哪些帖子,以及哪些帖子是伪造的。 Alburquerque说:“如果知道发件人的Twitter帐户,可以使用相同的技巧来评估电子邮件是否真实。”
Microphisher依靠统计分析来确定所写邮件与电子邮件配置文件的距离,因此不能用于自动生成可信的网络钓鱼邮件。
注意安全
与往常一样,人们不应点击随机,未知的链接或打开附件,无论来源如何。 您是否知道发送信息的人是谁都没有关系,因为越来越清楚的是,在线上有大量信息可用来制造令人信服的假货。
