I höstas skandalen kring uppsägningen av Tory MP, Brooks Newmark, orsakade kontrovers över användningen av sociala medier att ensnare. Den olyckliga herrn Newmark, som trodde att han pratade med en 21-årig som hette Sophie över Twitter, delade faktiskt delaktiga bilder med en manlig Sunday Mirror reporter.

Var han ett offer för entrapment eller en kille som fångats agerande dubbelt? Juryn är fortfarande ute på den där. Men en sak är säker: sociala medier används nu på många olika sätt.

Ta till exempel informationssäkerhet. Många företag övervakar nätverksaktivitet och skannar e-post för skadliga bilagor. Men attacker fortsätter att glida genom nätet, med phishing-e-postmeddelanden som en av de vanligaste metoderna för attack.

Phishing-bedrägerier lockar användare att klicka på en misstänkt länk eller öppna en obskyrt namngiven fil som skickas i ett e-postmeddelande. Användaren gör vad angriparen hoppades på, öppnar e-postmeddelandet eller klick på länken och dödskedjan startar och etablerar en bakdörr i företagsnätet. Voila har angriparen nu tillgång till det interna nätverket och kan börja eskalera åtkomstbehörigheter för att komma till riktigt känsliga data.

Omvänd psykologi

Men vad händer när du vänder om denna angrepps psykologi? Nu har e-postkontot medvetet skapats och konfigurerats på din domän enbart för att övervaka attacker. E-postanvändaren är en falsk enhet och du vet att all kommunikation som skickas till den e-postadressen ska betraktas som antingen skräppost eller en skadlig attack. I stället för att äventyras, har du nu tagit ett skadligt prover och kan omedelbart börja leta efter andra fall av liknande innehåll som skickas till andra i ditt företag. Din incidentdetektering och svarhållning förbättras enormt.

Genom att använda falska e-postkonton är det möjligt att skapa en källa till DIY hot intelligence som kan övervaka för misstänkta e-postmeddelanden i realtid. Men vi måste ge e-postanvändaren en övertygande identitet som kommer att vädja till hackaren.

Majoriteten av riktade attacker börjar med en spjutfiskangrepp. Sådana attacker innehåller en varierande kvalitet på forskning och profilering, som används av angriparen att hitta lämpliga kandidater att rikta sig in i organisationen. Facebook, Google, LinkedIn och andra medier är trawlade för information och kanske även lite socialteknik är anställd, med angriparen snooping eller ens ringa receptionisten för att bestämma vilka anställda som är värda att rikta in sig. (Det är av den anledningen att du bör instruera administrativ personal att aldrig avslöja namn eller kontaktuppgifter).

Genom att manuellt söka sociala nätverk med regelbundet uppdaterade profiler är det möjligt att ge våra falska anställda reella identiteter. Med den här tekniken kan vi skapa det som är känt i säkerhetscirklar som en "honeynet". Tanken är baserad på ett koncept som Clifford Stoll initierade i början av 1980-talet och dokumenterades i "The Cuckoo's Egg". Stoll var den första personen som fängslade och dokumenterade hackningar, vilket ledde till övertygelsen av hacker Markus Hess, en KGB-spion som stal USA: s militära intelligens.

  • Hur säkerhetshotet landskapet formas fram 2015

Juicy agn

När du skapar en honeynet, tänk på innehåll som skulle vara attraktivt för angriparen. Vad gör du? Vilken immateriell egendom har du? Vad sägs om oförlösta uppgifter om företagsprestanda? Kunddatabaser? Kreditkortsuppgifter? Gör de falska rollerna relevanta för innehållet. Nya nybörjare är perfekta kanonkoder för en spjutfiskekampanj, eftersom de inte är bekanta med interna processer, har förmodligen inte haft säkerhetsinduktioner ännu och känner sig nervös för att prata eller bli avfyrade i händelse av att göra något dumt på skrivbordet.

Personal med tillgång till andra resurser, eventuellt med upphöjda privilegier, men som kanske inte är misstänkta eller medvetna om attacker, gör också ideala falska identiteter. Ju mer äkta kontakter de har, desto mer trovärdiga är de som riktiga människor. Därför är ju mer sannolikt att de ska vara mottagare av målmedveten skadlig kod och ju mer användbar de hotinformationer vi får.

Att upprätthålla flera distinkta sociala medier profiler och göra dem verkliga kan skattas. Twitter-robotar skulle vara den perfekta vägen för att fylla sina Twitter-profiler med innehåll som visas friskt, men det är alltid en risk: om det är för automatiserat blir det uppenbart att profilen är falsk.

Så det är där ett intressant papper som kom upp i fjol kan hjälpa till. Författarna till en algoritm heter Bot eller Inte? har släppt ett verktyg som försöker bestämma om ett Twitter-handtag är äkta. Genom att använda verktyget för att se om det botinnehåll som vi använder för att fylla i en profil är detekterbart eller inte, kan vi avgöra om det går för en bona fide anställd.

Public service

Med hjälp av denna honeynet blir det sedan möjligt att söka efter liknande mönster på postloggar. Det är även möjligt att omvända malwareprogrammet och ta reda på var anslutningen går tillbaka till. Hämta en IP-adress för prov och destination och ladda upp den till en webbplats som VirusTotal eller liknande och du kan bara spara någon annan från att bli äventyrad också.

Så är social media enslingement etiska? Jag tror att det beror på motivet och vad fasaden avser att bevisa. Om honeynet förhindrar en attack på verksamheten, offentliggör ett möjligt utnyttjande, och avskräcker hackare, verkar det både etiskt och tillrådligt för mig. Och jag är ganska säker på att Clifford Stoll skulle godkänna.

  • Ken Munro är Senior Partner på Pen Test Partners LLP