Automated social engineering attacks using ChatBots on professional social networks

Abstract

The grow of the internet and social networks had intensified online human interactions, raising the risk of cyberattacks. Social Engineering uses the same baseline as scams and fraud, but using technology as a support to exploit natural human failures. These attacks have been causing high damage, from financial to social, to individuals and companies. Research has shown the capacity of Social Engineering attacks, however, there are few papers focusing on the evolution and trust on ChatBots and automation as a support for those attacks, achieving scalability without the need of more exposure from the malicious agent. This work presents an analysis of the capacity of a professional social network to detect and block automated Social Engineering threats to their users. This work develops a proof of concept structure to analyze the viability of an attack aiming to get access to personal or corporate sensitive data. The approach developed allowed us to observe the creation of a trust relationship between an user, the social network and a ChatBot, and the failures from social networks to identify and block this kind of behavior. To this end, an Automated Social Engineering bot was developed. It introduces itself as a recruiter, contacts and interacts with a group of social network users with predefined characteristics, and acquires data to demonstrate the weaknesses that allow automated Social Engineering attacks to happen without being detected or blocked. The analysis and discussion of the results allows demonstrating the security vulnerabilities present in professional networks and propose some mechanisms and controls to protect the users

O crescimento da internet e das redes sociais tem intensificado as interações humanas, aumentando os riscos de ataques cibernéticos. A Engenharia Social utiliza a mesma base que golpes e fraudes, porém utilizando a tecnologia como suporte para explorar falhas naturais do ser humano. Esses ataques tem causado grandes danos, de financeiros a sociais, em indivíduos e empresas. Pesquisas tem demonstrado a capacidade dos ataques de Engenharia Social, porém existem poucos trabalhos focando na evolução e confiança no uso de ChatBots e automação como suporte a esses ataques, alcançando escalabilidade sem a necessidade de maior exposição do agente malicioso. Este trabalho apresenta uma análise da capacidade de redes sociais profissionais de detectar e bloquear ameaças automatizadas de Engenharia Social aos seus usuários. Este trabalho desenvolve uma estrutura de prova de conceito para analisar a viabilidade de um ataque visando o acesso a dados sensíveis pessoais ou corporativos. A abordagem desenvolvida permite observar a criação de uma relação de confiança entre um usuário, a rede social e um ChatBot, e as falhas das rede sociais em identificar e bloquear esses tipos de comportamento. Para esse objetivo, um bot automatizado de Engenharia Social foi desenvolvido. O mesmo se apresenta como um recrutador, contatata e interage com um grupo de usuários da rede social com características pré-definidas, e coleta dados para demonstrar as fraquezas que permitem que ataques automatizados de Engenharia Social aconteçam sem serem detectados ou bloqueados. A análise e discussão dos resultados permite demonstrar as vulnerabilida desde segurança presentes nas redes profissionais e propõe mecanismos e controles para proteger os usuários.