El Phishing o suplantación de identidad, es un abuso informático que se comete mediante el uso de ingeniería social para obtener datos confidenciales de manera fraudulenta principalmente en e-mails y social media.
Hoy en día las nuevas tecnologías de inteligencia artificial han traído un nuevo “Boom” a esta peligrosa práctica.
El término “Phishing” proviene de la palabra fishing (pesca en inglés), donde se hace alusión al cibercriminal como el pescador (phisher) y a la víctima como quien muerde el anzuelo.
El término Phishing es tan viejo como los comienzos del internet para consumo masivo. El primer registro que se tiene sobre la utilización del término, es de 1996, dentro del sitio de noticias para entusiastas de la seguridad informática: alt.2600.
A pesar de que el Phishing es una táctica criminal bastante vieja en el mundo digital, Phishers e ingenieros sociales han encontrado maneras de hacer sus tácticas más efectivas a través de los años; y Twitter ha sido el entorno ideal para “ir de pesca” en los últimos meses.
El límite de 140 caracteres y la reducción de links en las publicaciones, hacen a Twitter una red social altamente vulnerable al Phishing.
¿A qué se debe esto? Al tener un límite de 140 caracteres por publicación, es más fácil para los programadores, crear un algoritmo predictivo que reconozca y aprenda cómo se utilizan estos 140 caracteres dentro de diferentes segmentos.
Si a esta vulnerabilidad le sumamos el hecho de que los links en Twitter son reducidos o que inclusive podemos reducir URLs maliciosos con Google URL Shortener para darles una imagen más confiable, se puede decir que crear una herramienta que genere publicaciones altamente cliqueables, no es imposible.
Este mismo razonamiento fue el que la compañía de seguridad en redes sociales y medición de riesgos, ZeroFox, tuvo al crear SNAP_R, la herramienta de Phishing automatizado para Twitter.
La herramienta SNAP_R permite crear campañas de Phishing con un esfuerzo mínimo y con una garantía de aprendizaje sobre su segmento que puede lograr hasta 500% más de clics en un link malicioso que un ser humano.
¿Cómo lo logra? El funcionamiento base de este programa es el que se utilizaría en un bot de chat, donde un ser humano puede comenzar a chatear con un software, con la diferencia de que este programa es el que inicia la conversación. Esta conversación se inicia a través de segmentaciones, o uso de keywords o hashtags que el usuario de SNAP_R seleccione.
Hashtags de uso masivo como #MyFirstTweet son altamente explotables por SNAP_R
Debido a que los perfiles, likes y publicaciones en Twitter tienden a ser muy específicos sobre los gustos de los usuarios y que Twitter ofrece un timeline de publicaciones desde el día que se creó la cuenta, las segmentaciones a elegir pueden ser tan específicas como se desee.
Una vez que se ha seleccionado el segmento a atacar, SNAP_R define cuál es la palabra con la que es más posible que una publicación de este segmento comience, una vez que se tiene esta palabra se calcula cuál es la segunda palabra que más probablemente y así sucesivamente.
El mayor peligro de SNAP_R es que puede trabajar en conjunto con herramientas como Google Analytics, detectando cuáles de sus posts generaron más clics, replicando su modelo de creación de contenidos ahora solo con sus mejores publicaciones, permitiendo un aprendizaje continuo para la app.
La posibilidad de detectar bots de este tipo en Twitter existe, pero este hecho es conocido por ZeroFox por lo que la herramienta puede ser programada para no exceder cierto porcentaje de clics por tweet y publicar de manera irregular, pasando desapercibido por los filtros de Twitter.
Una vez que se conoce el peligro y potencial de esta herramienta, la primera pregunta que viene a nuestras cabezas es usualmente: ¿Y por qué una compañía de seguridad crearía una herramienta así?
SNAP_R se creó originalmente como una herramienta para crear conciencia sobre la seguridad en redes sociales y la existencia de vulnerabilidades en servicios como Google y Twitter.
Además de concientizar algunos de sus usos pueden ser:
¿Qué podemos aprender de SNAP_R?
Descubre ¿Por qué todos deberíamos aprender programación?