Account Sociali: Establish Accounts - Social Media Accounts (T1585.001)

Costruire un profilo social credibile richiede pazienza e attenzione ai dettagli. Inizia creando l'identità base utilizzando generatori di persone fittizie come thispersondoesnotexist.com per ottenere foto realistiche. Il comando exiftool -all= foto.jpg rimuove metadati compromettenti dalle immagini.

Per LinkedIn, sviluppa un profilo professionale coerente. Usa faker in Python per generare dettagli biografici: python -m faker address produce indirizzi plausibili. Costruisci gradualmente le connessioni, iniziando con profili aperti nel settore target.

La fase di engagement richiede interazioni naturali. Commenta post pertinenti, condividi articoli del settore, partecipa a discussioni tecniche. Tool come Phantombuster automatizzano alcune interazioni mantenendo pattern umani.

Per testare la credibilità del profilo, utilizza servizi OSINT su te stesso. theHarvester -d tuodominio.com -b linkedin verifica quanto sia visibile il profilo. sherlock nomeutente controlla la coerenza cross-platform dell'identità creata.

Durante red team engagement autorizzati, documenta meticolosamente ogni interazione. Usa screenshot-tool --window LinkedIn per catturare conversazioni. Mantieni log dettagliati di ogni connessione accettata e messaggio inviato per il report finale.

Il rilevamento di profili social malevoli richiede correlazione tra indicatori comportamentali e anomalie di pattern. Implementa monitoraggio delle richieste di connessione anomale verso dipendenti chiave utilizzando API social quando disponibili.

Configura alert per rilevare cluster di nuove connessioni. Se 5+ dipendenti ricevono richieste dallo stesso profilo in 48 ore, genera un alert prioritario. Pattern come "recruiter presso azienda generica" con foto stock meritano investigazione immediata.

Monitora menzioni aziendali sui social attraverso tool come Mention o Brand24. Query di ricerca come "lavora presso [TuaAzienda]" site:linkedin.com rivelano profili sospetti. Correla questi dati con report di phishing interni.

L'analisi delle immagini profilo tramite reverse image search automatizzata identifica foto riciclate. Script Python con requests e Google Vision API processano batch di immagini: for img in profile_pics: check_reverse_search(img).

Integra threat intelligence specifica per social engineering. Feed come MISP includono indicatori di campagne APT note. Quando Magic Hound è attivo nella tua regione, aumenta il monitoraggio di profili LinkedIn con pattern mediorientali.

La ricostruzione forense di attacchi via social media inizia dall'analisi dei log di accesso alle piattaforme. Browser artifacts come Chrome's History (C:\Users[user]\AppData\Local\Google\Chrome\User Data\Default\History) contengono timestamp precisi delle interazioni.

Esamina le cache delle immagini profilo scaricate automaticamente. Su Windows, controlla %TEMP% e Temporary Internet Files. Il comando strings -el nomefile | grep -i linkedin estrae URL correlati da file binari.

I metadati delle conversazioni forniscono pattern temporali cruciali. Export di chat LinkedIn in formato .csv rivelano orari di attività anomali. Scattered Spider tipicamente opera in orari US Eastern, mentre APT32 mostra pattern del Sud-est asiatico.

Correla timestamp di accettazione connessioni con successivi eventi di sicurezza. Database SQLite dei browser (places.sqlite per Firefox) contengono cronologie dettagliate interrogabili con: sqlite3 places.sqlite "SELECT datetime(visit_date/1000000,'unixepoch'),url FROM moz_historyvisits".

Per investigazioni su larga scala, automatizza l'estrazione di indicatori. Script PowerShell processano export di Outlook cercando pattern di social engineering: *Select-String -Pattern "connect on LinkedIn" -Path .pst | Export-Csv timeline.csv.

Kimsuky utilizza profili social principalmente per monitoraggio OSINT, creando account che seguono think tank e ricercatori coreani. I loro profili mostrano interesse specifico per politiche nucleari e sanzioni, permettendo previsioni sui prossimi target.

HEXANE costruisce elaborate personas di recruiter HR su LinkedIn, complete di connessioni reciproche tra profili falsi per aumentare credibilità. Target preferenziali: settore oil & gas in Medio Oriente, con picchi di attività durante negoziazioni energetiche regionali.

Star Blizzard mantiene profili longevi su piattaforme professionali, investendo mesi nella costruzione di reputazione prima dell'engagement. Focus su accademici e think tank NATO, con incremento attività durante summit Alliance.

L'overlap di infrastruttura rivela connessioni tra campagne. EXOTIC LILY riutilizza foto profilo tra account, permettendo clustering di personas correlate. Tool di face recognition applicati a dataset di profili sospetti identificano riutilizzi cross-campaign.

Pattern geografici emergono dall'analisi aggregata. Gruppi iraniani come Magic Hound e CURIUM condividono TTP nel corteggiamento prolungato delle vittime, con conversazioni che durano settimane prima del payload. Gruppi nordcoreani come Lazarus preferiscono approcci più diretti con offerte di lavoro immediate.

Tecnica documentata in MITRE ATT&CK T1585.001. Riferimenti principali includono campagne Operation Dream Job (2019-2020) e Operation Ghost (2013-2019). Detection guidance disponibile attraverso CISA advisories per Star Blizzard e analisi Mandiant su Scattered Spider.