Nu este un secret faptul că Facebook a fost ocupat să reducă confidențialitatea de care vă bucurați anterior pe site. Aceasta este înțelegerea pe care am făcut-o pentru a continua să fim utilizatori, dar, de mai multe ori, flagelul unei noi funcții sau actualizări de politică ne trimite la setările contului nostru, încercând cu nebunie să înțelegem cum să ne protejăm.
Asta, sau renunți, cedezi și dai totul peste Facebook.
Cea mai recentă lansare care a făcut mai ușor ca niciodată să vă sapați datele personale este Graph Search. Deși distractiv și incredibil de revelator (în bine sau în rău), nu am înțeles în totalitate potențialul și amploarea acestui instrument - până acum. A fost dezvoltat un ceva numit FBStalker, care poate afla care sunt punctele slabe ale dvs. și cum să le exploatați, toate folosind Graph Search, precum și informații obținute de la prietenii dvs.
Dacă asta nu te sperie puțin, ar trebui. Iată ce trebuie să știți.
Instrumentul FBStalker folosește în principal Căutarea grafică a Facebook pentru a culege date, dar folosește în principal informațiile pe care le partajați în cronologiile prietenilor dvs.
Dacă nu v-ați dat seama cât de puternic (și potențial invaziv) este mecanismul de căutare încorporat Facebook, atunci aceasta este problema dvs. principală chiar acolo. Nu putem sublinia acest lucru suficient, dar chiar ar trebui să fii atent la lucrurile pe care le împărtășești pe site-urile de socializare precum Facebook - mai ales acum că o funcție importantă care îți permite să-ți păstrezi contul de a putea fi căutat a fost închisă permanent.
FBStalker este un script Python dezvoltat de Keith Lee, un analist din Singapore pentru Trustwave, o companie care protejează datele și previne riscurile de securitate pentru clienții lor. Funcționează folosind informațiile disponibile ușor nu numai în profilul dvs., ci și al prietenilor dvs. Din aceste date, instrumentul poate analiza interacțiunile dintre utilizatori și deduce o listă a prietenilor apropiați din aprecieri, comentarii, etichete și check-in-uri pe care le postați pe paginile altor persoane.
Instrumentul FBStalker a fost dezvoltat pentru a ajuta clienții să-și testeze propriile setări de securitate.
În timp ce descrierea instrumentului poate părea îngrozitoare, compania care a dezvoltat-o îl folosește definitiv. „[Am] desfășurat o campanie de phishing cu FBStalker doar folosind e-mailul”, împărtășește Jonathan Werrett, consultant managerial pentru Trustwave cu sediul în Hong Kong, de asemenea co-cercetător și consultant pentru proiect. „Compania cu care lucram dorea să știe unde securitatea lor era mai slabă. Prin FBStalker, am reușit să identificăm că soției unui angajat (prin asociații) i-a „plăcut” un anumit studio de pilates din zonă. Am reușit apoi să stabilim că deține studioul Pilates, ceea ce ne-a oferit un subiect excelent pentru a începe să vorbim cu ea prin e-mail. Scopul a fost să vedem dacă va deschide un e-mail cu privire la subiect, care ar putea fi apoi un document rău intenționat. ”
Potrivit unui raport de știri, Trustwave a trimis un e-mail conținând un videoclip, pe care soția l-a deschis. Atașamentul a dezlănțuit malware pe computerul ei, care a conținut întâmplător parole lăsate acolo de proprietarul său anterior, soțul ei (care a angajat Trustwave). Programul malware a infectat cu succes computerul și a oferit Trustwave acces complet la aceste parole.
„În mod tradițional, hackerii au folosit atacuri de e-mail„ phishing ”bazate pe subiecte generice pentru a încerca să atragă interesul unei victime”, explică Werrett. „Folosesc aceste subiecte cu scopul de a determina victima să facă clic pe un link sau să deschidă o sarcină utilă rău intenționată. Am văzut atacuri de phishing în subiecte de utilizare sălbatică despre tehnologii, surse de știri pe care ar fi interesați oamenii dintr-o anumită companie sau subiecte precum „Detalii privind salariile companiei pentru septembrie”. ”
Werrett subliniază, de asemenea, că majoritatea site-urilor de socializare oferă „informații cu sursă deschisă”, care pot fi utilizate de hackeri pentru a crea atacuri foarte specifice de „pescuit cu sulița”, similar cu exemplul anterior de pilates.
FBStalker are capacitatea de a expune tot felul de informații relevante open source pe care le credeați anterior nesemnificative.
Orice atacator online dintr-o misiune poate folosi Facebook ca resursă pentru a pretinde că știe multe despre tine, încurajându-te astfel să te deschizi la hacking. Ca măsură preventivă, FBStalker poate folosi informațiile din cronologia dvs. pentru a afla la ce oră din zi postați de obicei pe Facebook și sunteți cel mai activ pe site - aceasta este adesea legată de timpul pe care îl petreceți răspunzând la e-mailuri sau mesaje instantanee, o parte din rutina dvs. care se poate dovedi utilă pentru escrocii să vă vizeze prin corespondență online.
FBStalker poate afla, de asemenea, ce tip de dispozitiv mobil utilizați, pe baza aplicațiilor pe care le-ați folosit în cadrul site-ului social. În plus, pot afla, de asemenea, unde vă bazați pe datele de localizare geografică pe care telefonul dvs. le atașează la o parte din activitatea dvs. din cronologie. Acest lucru îi poate determina pe hackeri să afle cât de des vă aflați într-un anumit loc și aproximativ la ce oră. Oamenii pot afla despre programul tău de lucru și pot să-ți asocieze întreaga zi de zi. Aceștia pot configura magazinul la unul dintre hangouturile dvs. obișnuite și pot crea ceea ce Werrett numește un „hotspot wireless rău”, conceput pentru a captura acreditările contului sau alte date sensibile atunci când anumite victime se conectează la acesta.
Toate aceste informații, doar de pe smartphone și din contul dvs. Facebook.
Chiar și atunci când tu gândi setările dvs. de confidențialitate sunt de top, atâta timp cât acordați acces la lista de prieteni a conținutului dvs., sunteți vulnerabil.
Știți zicala „Un lanț este la fel de puternic ca și veriga sa cea mai slabă”? Se aplică foarte mult securității Facebook - chiar dacă ți-ai blocat complet profilul Facebook, singurul lucru pe care nu îl poți proteja este fotografia de profil Facebook. Prietenii își comentează adesea noua fotografie de profil sau dau clic pe „Apreciază”. „Acest tip de activitate poate fi capturat și analizat de FBStalker și ajută la„ ingineria inversă ”a prietenilor dvs. de pe Facebook”, spune Werrett. Odată ce FBStalker știe cine sunt prietenii tăi, poate afla și mai multe despre tine.
Trustwave a dezvoltat, de asemenea, un instrument similar numit GeoStalker - care este exact cum sună.
GeoStalker analizează conținutul postat pe Foursquare, Flickr, Instagram și Twitter - practic orice site social care poate conține informații de localizare geografică. Instrumentul localizează aceste postări și le plasează pe o hartă Google, permițând unuia dintre testerii Trustwave să evalueze activitatea online în anumite zone.
După ce GeoStalker găsește conturile persoanelor care au postat dintr-o anumită locație, instrumentul corelează aceste date cu alte site-uri sociale precum Youtube, Google+, Linkedin, Facebook, Twitter, Instagram și Flickr pentru a găsi mai multe conturi care pot fi conectate la utilizatorii.
„Am fost angajați de un client de utilități pentru a testa securitatea fizică a unui sit industrial și pentru a vedea dacă vom putea accesa rețelele lor de control”, povestește Werrett. „Cu Geostalker, Trustwave a identificat un cont de social media care postea o mulțime de fotografii în timp ce se afla în locație și sa dovedit a fi un membru al personalului. Trustwave a efectuat apoi un atac de phishing pentru a încerca să obțină ținta să deschidă un e-mail care ne-ar fi permis accesul la informațiile sau rețeaua companiei ".
Deși Trustwave a conceput în primul rând instrumentul pentru a ajuta utilizatorul să caute conturile de socializare ale persoanelor care lucrează într-o anumită locație, acesta dezvăluie o problemă mult mai mare: Mai nu fi o idee bună să îți etichetezi locația tot timpul pe postările tale Instagram, la urma urmei. Și, în mod serios, toată lumea trebuie să înceteze să se verifice la locul de reședință și să o eticheteze „pătuțul meu” Ceri să fii jefuit sau mai rău.
Orice ai postat pe tine și prietenii tăi pe Facebook (și probabil vei) va fi folosit împotriva ta.
Serios, dacă a existat o lecție de luat acasă din toate acestea, trebuie să fii extrem de precaut cu privire la ceea ce postezi tu și prietenii tăi pe Facebook (precum și alte site-uri de socializare - și da, o spunem din nou). Blocarea setărilor de confidențialitate nu ar trebui să fie singurul pas pe care îl faceți pentru a vă asigura siguranța informațiilor.
Trustwave vă recomandă, de asemenea, să fiți atenți la cine acceptați ca contacte pe aceste site-uri și să vă avertizați prietenii mai activi online care își lasă profilurile publice cu privire la faptul că nu numai că își pun în pericol confidențialitatea, ci și a dvs. În cele din urmă, dezactivați accesul la locație în cadrul aplicațiilor de socializare pe care le utilizați pe dispozitivele dvs. mobile.
Deocamdată, numai utilizatorii cu mașini Linux pot folosi instrumentul FBStalker.
Cu toate acestea, de la lansarea săptămânii trecute, membrii comunității de dezvoltatori au contactat echipa și sunt interesați să încerce să porteze instrumentele în Windows. Până atunci, sunteți limitat la un computer care acceptă Linux și la unele cunoștințe generale de codificare (experiența Python vă va ajuta). Am avut o privire de programare asupra scriptului și a văzut că, deși oricine se poate îndrepta către Github și poate descărca scriptul, li se va solicita o parolă de utilizator înainte de a analiza un profil. Aceasta înseamnă că tot ce va trebui să efectuați o scanare oricine este un login Facebook.
Cel putin pentru moment; cine știe dacă Trustwave îl va dezvolta într-un program care scanează toate profilurile, indiferent dacă aveți sau nu un cont Facebook. Sau, mai înspăimântător, însă, acum că codul este disponibil, oricine poate construi un instrument și mai eficient folosind o tehnologie mai sofisticată și care sparge confidențialitatea. Tot ce face FBStalker este să automatizeze interogările de căutare grafică folosind informații care sunt deja setate public pentru început, dar având în vedere atenția oamenilor, de obicei, laxă pentru notificări, etichete și tipăriri fine, acest tip de date este cu siguranță furaj pentru criminalitatea informatică. Concluzie: doar pentru că băieții buni au dezvoltat acest instrument mai întâi (sau cel puțin l-au anunțat) nu înseamnă că escrocii de acolo nu fac exact același lucru.
