Campañas de phishing dirigidas por algoritmos de inteligencia artificial

bots twitter

Mike Rice lleva desde mayo del 2016 por Twitter compartiendo información sobre gatos, música y algún que otro tema tecnológico.

¿Cuál es el problema? Que Mike no es humano.

Esta cuenta, junto con otras cuantas, ha sido utilizada estos últimos meses para testear qué tan efectivo resultaría un sistema de inteligencia artificial aplicado a supuestas campañas de phishing.

Para ello, el algoritmo se centraba en generar de forma automática tweets que compartía con sus seguidores, y en los que de vez en cuando respondía a los “sujetos involuntarios” que utilizaban un hashtag oportuno (en este caso, #Cat, pero también han estado monitorizando #PokemonGo, #Trump y un largo etcétera), en los que además incluía un enlace acortado.

Por supuesto, el enlace llevaba simplemente a Google, pero los chicos detrás del proyecto obtuvieron cerca de un 30% de tasa de click, alrededor de un 10% superior a la tasa de acierto de la mayoría de campañas de phishing masivas, e incluso con alguna alerta por parte de los objetivos avisando que el enlace estaba (supuestamente) roto.

John Seymour de ZeroFox presentaba estos días sus resultados en BlackHat, cuyo powerpoint ya está colgado en la web (EN/PDF), alertando a la industria de dos cosas:

  • La inteligencia artificial aplicada al cibercrimen es una realidad (y si no lo es, a partir de ahora va a serlo).
  • Ellos tienen ya preparada su propia herramienta, SNAP_R, y seguramente no sean los únicos.

El funcionamiento de SNAP_R

Desarrollar un bot de Twitter que responda automáticamente a algunos perfiles es algo que está al alcance de cualquiera.

Es más, que un servidor tiene unos cuantos por ahí operativos, y le aseguro que prepararlos no lleva más de un par de horas a poco que tenga nociones de python y de la API de Twitter.

Ahora bien, hay una diferencia sustancial entre lanzar un bot que como en mi caso scrapea diferentes hashtag para lanzar respuestas a usuarios en base a una biblioteca de respuestas pre-generada, y hacer esto mismo de forma parametrizada y en base a una inteligencia artificial capaz de aprender y adaptarse a cada entorno.

Eso mismo es lo que hace la herramienta de ZeroFox. SNAP_R puede funcionar de dos maneras:

  • markovO bien aplica aprendizaje profundo: Es decir, aprender posibles respuestas según un entrenamiento previo basado en el análisis de más de un millón de tweets relacionados.
  • O bien aplica los fundamentos de la cadena de Márkov (ES): Lo que le permite generar tweets que son similares a los que suele publicar el objetivo, de manera que aumenta la probabilidad de que éste caiga en el anzuelo al suponer que está ante una persona con intereses parecidos.

Se basa por tanto en la probabilidad de relación existente entre las palabras que generalmente utiliza el objetivo, y el resultado hace que aumente considerablemente el éxito de la campaña.

Algo que precisamente es el santo grial de la industria del cibercrimen, al depender, como cualquier otra industria, de sacar el máximo provecho a los recursos existentes en cada momento, buscando el máximo retorno de la inversión posible.

SNAP_R es parametrizable, y aquí está otra de las diferencias con mis pinitos en esto de automatizar bots en la red.

El sistema no solo permite realizar campañas en base a hashtags o comentarios hechos en Twitter (es decir, elementos de búsqueda que puede devolvernos su API), sino que también es capaz de categorizar aquellas personas más influyentes que estén o bien hablando sobre algo o bien sean parte de ese algo.

En la presentación ponían de ejemplo a la cuenta de Eric Schmidt, y cómo la herramienta, en base a una búsqueda por personas influyentes del mundo tecnológico, había elegido al actual presidente de Alphabet como objetivo.

Eric Schmidt

Para ello realiza una búsqueda genérica (CEO) en las descripciones de la BBDD de perfiles de Twitter, y luego rankea cada uno en base a diversos factores (Followers, reputación de la variable “url”,…).

Hacia entornos de Spear Phishing automatizado

Lo que de verdad debería preocuparnos es que este tipo de ataques tienen, como decía, algo más de un 30% de tasa de acierto. Y los ataques de spear phishing rondan el 45%, pese a que los recursos necesarios son muy pero que muy superiores.

Fíjese que estamos hablando de una tipología de ataques que puede realizarse de manera automática, sin interacción por parte del humano, y cuya tasa de éxito no difiere tanto con aquellos otros que a día de hoy deben hacerse sí o sí a mano y de uno en uno, recopilando la suficiente información de la víctima como para preparar una estrategia ex profeso creada para ella.

phishing snap-r

Piense entonces que para atacar a un organismo en particular, lo “único” que necesitaríamos es fijar las variables adecuadas que lo definen (URL de su página, cargos de responsabilidad, sector en dónde se mueven,…), y dejar a la herramienta que se encargue de identificar a las víctimas, conocerlas mejor, y preparar la comunicación que considere más adecuada para incentivar ese click en el enlace fraudulento, siguiendo las esperables estrategias de ofuscación de URLs que ya conocemos.

Por supuesto, una cosa es lanzar una campaña de este tipo por un escenario tan limitado como es Twitter, y otra muy distinta es hacerlo por un entorno más corp como podría ser el email. Pero aún así, y a sabiendas que los sistemas de IA no están todavía preparados para moverse con la esperable soltura en un hilo de emails (Inbox de Google seguramente sea quien más avanzado está, y solo llega a realizar respuestas de una frase (EN) en situaciones muy pero que muy limitadas), de esto a las típicas campañas de phishing, como ésta que me ha llegado hace unas horas, hay un largo trecho…

phishing tip

Descontando que este tipo de sistemas no requieren que el operario conozca de antemano el idioma de la víctima, otro de los puntos más débiles de esta tipología de ataques.

Porque lo importante en este caso es que bien sea de forma totalmente automática, bien sea como asistente para facilitar el trabajo de los cibercriminales, sistemas como SNAP_R permiten realizar campañas personalizadas a cada target sin destinar recursos en esas fases iniciales de footprinting y fingerprinting.

De saltarse aunque sea todo ese trabajo, que es el que al final, y gracias a la ingeniería social, acaba por optimizar el éxito de estas campañas.

Y precisamente ese elemento que hace de una campaña de phishing un arma prácticamente imposible de contrarrestar.

 

________

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias