C'est dans une poignée de jours maintenant que va se dérouler la Black Hat 2016 (du 30 juillet au 2 août à Las Vegas), la conférence annuelle consacrée aux techniques, recherches et analyses de piratage et autres découvertes de failles. C'est d'ailleurs là-bas que sera dévoilé par des chercheurs de Zerofox un outil gratuit permettant du spear phishing via Twitter. A la différence du phishing « classique », le spear phishing se démarque par le fait que les emails/messages d'hameçonnage proviennent d'adresses d'expéditeurs connus de la victime (amis, collègues...) le plus souvent envoyées car ils se sont fait pirater leurs comptes de messagerie.
Dénommé SNAP_R (social network automated phisher with reconnaissance), cet outil, qui tourne sur un compte Twitter, cible et collecte des données relatives aux centres d'intérêts des abonnés à ce compte. Il est capable ensuite de composer un tweet embarquant un lien vers un site contenant un malware avant de l'envoyer. Les chercheurs de Zerofox ayant développé cet outil, John Seymour et Philip Tully - ont dit que SNAP_R leur permet d'intensifier des campagnes de phshing ciblant des comptes Twitter. Il leur faut 5 à 10 minutes pour écrite un seul email de spear phishing par exemple, mais seulement une poignée de secondes ou de minutes pour générer des centaines de tweet de spear phishing, dépendant de combien de ressources matérielles ils disposent.
Plus efficace que le phishing traditionnel par email
Le phishing manuel a un taux de clic de 40-45% par rapport aux méthodes automatisées qui avoisinent 33%. Mais en raison de la vitesse à laquelle les tweets sont générés, le retour net est beaucoup plus important. « C'est un peu moins réussi mais beaucoup plus efficace », a indiqué John Seymour. Les comptes Twitter sont un bon endroit pour essayer le spear phishing en raison de la combinaison des langages utilisés, de la richesse des données API et l'utilisation de liens courts. Parce que les tweets sont courts et informels, le langage n'a pas pas à être parfait et les messages étant courts, les victimes peuvent ne pas prêter attention aux fautes, contrairement à l'email où l'utilisateur est globalement plus attentif.
Les API Twitter permettent à l'outil de poster automatiquement aussi bien que collecter des données significatives concernant les victimes de façon à s'en servir pour concevoir des tweets tentants. Sans compter que les liens courts masquent la véritable URL qui pourrait alors donner l'alarme et permettre de se rendre compte du manque d'authenticité du tweet.
Des tweets indissociables de ceux écrits par des humains
SNAP_R, qui tourne sur Ubuntu et OS X, permet aussi de s'assurer de l'activité des comptes Twitter et récupérer des indices sur la personne (carrière, centres d'intérêts...). Les tweets eux-mêmes peuvent être créés en fonction de la période de l'année pour éviter par exemple qu'une personne intéressée par les Jeux Olympiques de Rio reçoivent un tweet en décembre alors qu'il serait bien plus utile de l'envoyer en juillet... Les tweets peuvent aussi être façonnés via un modèle de réseau neuronal entraîné pour composer les tweets préalablement avalés par millions. Tout ce qu'il fait faire est de trouver un thème de tweet. L'outil peut aussi écrire dans n'importe quelle langue, le but étant qu'on ne puisse pas le distinguer d'autres tweets rédigés par des personnes.
Pour les entreprises, SNAP_R peut être utilisé pour du testing interne pour savoir comment les employés sont susceptibles d'être réceptifs aux tweets mobiles, a fait savoir Evan Blair, responsable des activités chez Zerofox. Conscients que cet outil peut être utilisé pour du spear phishing, les chercheurs ont intégré une parade pour empêcher qu'il soit exploité pour un usage malveillant. Mais pour de la recherche white hat, elle peut être désactivée.