Using Online Ac,vity as Digital Fingerprints to Create a - PowerPoint PPT Presentation

Using ¡Online ¡Ac,vity ¡as ¡Digital ¡ Fingerprints ¡to ¡Create ¡a ¡Be8er ¡ Spear ¡Phisher ¡ Joaquim ¡Espinhara ¡& ¡Ulisses ¡Albuquerque ¡ ¡JEspinhara@trustwave.com ¡ ¡UAlbuquerque@trustwave.com ¡ ¡

Agenda ¡ • Introduc=on ¡ • Mo=va=on ¡ • Background ¡ • HowStuffWorks ¡ – Our ¡Approach ¡ • µphisher ¡ • Demo ¡ • Future ¡Work ¡ • Conclusion ¡

About ¡us ¡ • Joaquim ¡Espinhara ¡ – From ¡Aracaju, ¡Brazil ¡ – Security ¡Consultant ¡at ¡Trustwave ¡Spiderlabs ¡ • Ulisses ¡Albuquerque ¡ – Coder ¡for ¡offense ¡& ¡defense… ¡as ¡long ¡as ¡it’s ¡fun! ¡ – Lab ¡Manager ¡at ¡Trustwave ¡Spiderlabs ¡

INTRODUCTION ¡

OUR ¡MOTIVATION ¡

Our ¡Mo,va,on ¡ • Why? ¡ • Tools ¡available ¡

BACKGROUND ¡

Background ¡ • Social ¡Networks ¡ • Social ¡Engineering ¡ • Data ¡Mining ¡ • Natural ¡Language ¡Processing ¡-­‑ ¡NLP ¡

Background ¡ • Social ¡Networks ¡ Facebook ¡ Others ¡ TwiYer ¡ Linkedin ¡

Background ¡ • Social ¡Networks ¡ – Communica=on ¡channel ¡for ¡keeping ¡in ¡touch ¡with ¡ someone ¡(Facebook, ¡TwiYer) ¡ – Media ¡sharing ¡(Instagram) ¡ – Specialized ¡networks ¡(GetGlue, ¡TripIt, ¡LastFM) ¡

Background ¡ • Social ¡Engineering ¡ – Phishing ¡ hYp://www.d00med.net/uploads/0d832c77559a2070a766f899e7eg783.png ¡ ¡

Background ¡ • Data ¡Mining ¡ – What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ ¡ ¡

Background ¡ • Data ¡Mining ¡ ¡ ¡ Data ¡ Raw ¡data ¡set ¡ Data ¡cleaning ¡ Data ¡integra=on ¡ normaliza=on ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ "Had ¡lunch ¡with ¡ @urma ¡and ¡ @urma ¡and ¡ @urma ¡and ¡ @urma ¡and ¡ @jespinhara ¡today ¡ @jespinhara ¡ @jespinhara ¡ @jespinhara ¡today ¡ #tgif ¡#lunch" ¡ today" ¡ today" ¡ (2013-­‑06-­‑05)" ¡

Background ¡ • Natural ¡Language ¡Processing ¡– ¡NLP ¡ – What ¡is ¡it? ¡ – What ¡do ¡you ¡need ¡know ¡about ¡it? ¡ – How ¡do ¡we ¡use ¡it? ¡ – Text ¡analysis ¡

Background ¡ • Natural ¡Language ¡Processing ¡-­‑ ¡NLP ¡ hYp://webu2.upmf-­‑grenoble.fr/sciedu/nlpsl/nlpsl.jpg ¡

HOWSTUFFWORKS ¡

Our ¡Approach ¡ Iden=fying ¡ Collec=ng ¡ Analyzing ¡and ¡ the ¡subject ¡to ¡ social ¡ building ¡the ¡ profile ¡ network ¡data ¡ profile ¡

Our ¡Approach ¡ • The ¡Unknown ¡Subject ¡( Unsub ) ¡ @jespinhara ¡ (TwiYer) ¡ Joaquim ¡ joaquim.espinhara ¡ Espinhara ¡ (Facebook) ¡ uid=12345 ¡ (LinkedIn) ¡

Our ¡Approach ¡ • Data ¡Collec=on ¡ – Social ¡Network ¡IDs ¡ – Official ¡APIs ¡ – Web ¡Scraping ¡ – OAuth ¡

Our ¡Approach ¡ • Data ¡Collec=on ¡-­‑ ¡TwiYer ¡ Applica=on ¡ID ¡ (µphisher) ¡ TwiYer ¡ @urma ¡ @effffn ¡ @SpiderLabs ¡ User ¡ID ¡ (@jespinhara) ¡

µPHISHER ¡

µphisher ¡ • Reference ¡implementa=on ¡ • Goals ¡ – Validate ¡poten=al ¡ unsub ¡content ¡ – Assisted ¡textual ¡content ¡input ¡

µphisher ¡ • Web ¡Applica=on ¡ • TwiYer ¡only ¡(for ¡now) ¡ • Open ¡Source ¡(GPLv3) ¡

µphisher ¡ MongoDB, ¡ DelayedJob ¡ Mongoid ¡ Ruby ¡on ¡ OAuth ¡ Rails ¡ µphisher ¡

µphisher ¡ Unsub ¡ Data ¡Source ¡ Data ¡ Work ¡Set ¡ Work ¡Set ¡ Authen=ca=on ¡ Unsub ¡Profile ¡ Registra=on ¡ Registra=on ¡ Collec=on ¡ Defini=on ¡ Analysis ¡

µphisher ¡

DEMO ¡ (FINGERS ¡CROSSED) ¡

DOWNLOAD ¡ HTTPS://GITHUB.COM/URMA/MICROPHISHER ¡

Future ¡Work ¡ • Support ¡for ¡addi=onal ¡data ¡sources ¡ • Machine ¡learning ¡ • More ¡metrics ¡and ¡feedback ¡for ¡assisted ¡input ¡

CONCLUSION ¡

THANK ¡YOU! ¡