Není žádným tajemstvím, že Facebook byl zaneprázdněn omezováním soukromí, které jste si dříve na webu užívali. To je dohoda, kterou jsme udělali, abychom nadále byli uživateli, ale pokaždé, když nás metla nové funkce nebo aktualizace zásad posílá, směřujeme k nastavení našeho účtu a šíleně se snažíme pochopit, jak se chránit.
To, nebo se vzdáte, vzdáte se a vše dáte Facebooku.
Nejnovějším spuštěním, které usnadnilo získávání vašich osobních údajů než kdykoli dříve, je Graph Search. I když je to zábavné a neuvěřitelně odhalující (pro lepší i horší), dosud jsme úplně nepochopili potenciál a velikost tohoto nástroje. Byla vyvinuta maličkost zvaná FBStalker, která dokáže zjistit, jaké jsou vaše slabiny a jak je využít, a to vše pomocí Graph Search a informací získaných od vašich přátel.
Pokud vás to trochu nevystraší, mělo by to být. Tady je to, co potřebujete vědět.
Nástroj FBStalker primárně využívá ke shromažďování údajů Facebook Graph Graph, ale většinou používá informace, které sdílíte v časových osách svých přátel.
Pokud jste si dosud neuvědomili, jak silný (a potenciálně invazivní) je integrovaný vyhledávací mechanismus Facebooku, pak je to váš hlavní problém právě tam. Nemůžeme to dostatečně zdůraznit, ale opravdu byste měli být opatrní, co sdílíte na stránkách sociálních médií, jako je Facebook - zejména teď, když byla trvale uzavřena důležitá funkce, která vám umožní zabránit prohledávání vašeho účtu.
FBStalker je skript v Pythonu, který vyvinul Keith Lee, singapurský analytik společnosti Trustwave, společnosti, která chrání data a předchází bezpečnostním rizikům pro své klienty. Funguje tak, že využívá informace snadno dostupné nejen ve vašem profilu, ale také ve vašich přátelích. Z těchto dat může nástroj analyzovat interakce mezi uživateli a odvodit seznam vašich blízkých přátel z lajků, komentářů, značek a ohlášení, která zveřejňujete na stránkách jiných lidí.
Nástroj FBStalker byl vyvinut, aby klientům pomohl otestovat jejich vlastní nastavení zabezpečení.
I když může popis nástroje znít děsivě, společnost, která jej vyvinula, ho skutečně používá k dobrému. „[Provedli jsme phishingovou kampaň s FBStalker pouze pomocí e-mailu,“ sdílí Jonathan Werrett, vedoucí konzultant společnosti Trustwave se sídlem v Hongkongu, také spoluřešitel a konzultant projektu. "Společnost, se kterou jsme pracovali, chtěla vědět, kde je jejich bezpečnost nejslabší." Prostřednictvím FBStalker jsme byli schopni identifikovat, že manželka zaměstnance (prostřednictvím asociací) „lajkovala“ konkrétní pilates studio v této oblasti. Poté jsme mohli zjistit, že vlastní studio pilates, což nám dalo skvělé téma, abychom s ní mohli začít mluvit prostřednictvím e-mailu. Cílem bylo zjistit, zda k tématu otevře e-mail, který by pak mohl být nebezpečným dokumentem. “
Podle zpravodajské zprávy Trustwave poslal e-mail s videem, které manželka otevřela. Příloha uvolnila malware do jejího počítače, který mimochodem obsahoval hesla, která tam zanechal její předchozí majitel, její manžel (který si najal Trustwave). Malware úspěšně infikoval počítač a poskytl Trustwave úplný přístup k těmto heslům.
„Hackeři tradičně používají„ phishingové “e-mailové útoky založené na obecných tématech, aby se pokusili získat zájem oběti,“ vysvětluje Werrett. "Používají tato témata s cílem přimět oběť, aby klikla na odkaz nebo otevřela škodlivé užitečné zatížení." Viděli jsme phishingové útoky v divokém používání témat o technologiích, zdrojích zpráv, které by lidi v konkrétní společnosti zajímaly, nebo předměty jako „Podrobnosti o výplatě společnosti za září“. “
Werrett také poukazuje na to, že většina webů sociálních médií poskytuje „open source inteligenci“, kterou mohou hackeři potenciálně využít k vytváření velmi specifických „kopí“ útoků, podobně jako v předchozím příkladu pilates.
FBStalker má schopnost vystavit nejrůznější relevantní inteligenci otevřeného zdroje, kterou jste dříve považovali za bezvýznamnou.
Každý online útočník na misi může použít Facebook jako prostředek k předstírání, že o vás ví hodně, a tím vás povzbudí, abyste se otevřeli hackingu. Jako preventivní opatření dokáže FBStalker pomocí informací na vaší časové ose zjistit, jakou denní dobu obvykle zveřejňujete na Facebooku a jsou na webu nejaktivnější - často to souvisí s časem, který strávíte odpovídáním na e-maily nebo rychlé zprávy, část vaší rutiny, která se může podvodníkům ukázat jako užitečná pro cílení na vás prostřednictvím online korespondence.
FBStalker také může zjistit, jaký typ mobilního zařízení používáte, na základě aplikací, které jste použili na sociální stránce. Kromě toho mohou také zjistit, kde jste, na základě údajů o geografickém umístění, které váš telefon připojuje k některé z vašich aktivit na časové ose. To může potenciálně vést hackery ke zjištění, jak často jste na určitém místě a zhruba v jakou dobu. Lidé se mohou dozvědět o vašem pracovním harmonogramu a dát dohromady celý váš den. Mohou zřídit obchod na jednom z vašich běžných hangoutů a vytvořit to, co Werrett nazývá „zlý bezdrátový hotspot“, navržený k zachycení pověření účtu nebo jiných citlivých dat, když se k němu připojí konkrétní oběti.
Všechny tyto informace, pouze ze smartphonu a účtu na Facebooku.
I když ty myslet si vaše nastavení ochrany soukromí je prvotřídní, pokud svému seznamu přátel poskytnete přístup k vašemu obsahu, jste zranitelní.
Znáte rčení „Řetěz je jen tak silný jako jeho nejslabší článek“? Velmi se to týká zabezpečení Facebooku - i když jste svůj profil na Facebooku úplně uzamkli, jedinou věcí, kterou nemůžete chránit, je vaše profilová fotka na Facebooku. Přátelé často okomentují vaši novou profilovou fotku nebo kliknou na „líbí se mi to.“ „Tento typ aktivity může zachytit a analyzovat FBStalker a pomůže vám„ zpětně analyzovat “vaše přátele z Facebooku,“ říká Werrett. Jakmile FBStalker ví, kdo jsou vaši přátelé, může o vás zjistit ještě více.
Trustwave také vyvinul podobný nástroj s názvem GeoStalker - což je přesně to, co zní.
GeoStalker analyzuje obsah zveřejněný na Foursquare, Flickr, Instagram a Twitter - v podstatě jakýkoli sociální web, který může obsahovat informace o geografické poloze. Nástroj vyhledá tyto příspěvky a vykresluje je na mapě Google, což umožňuje jednomu z testerů Trustwave měřit online aktivitu v konkrétních oblastech.
Poté, co GeoStalker najde účty lidí, kteří zveřejnili příspěvky z konkrétního místa, nástroj porovná tato data s dalšími sociálními weby, jako jsou Youtube, Google+, Linkedin, Facebook, Twitter, Instagram a Flickr, aby našel další účty, ke kterým lze připojit uživatelé.
"Byli jsme najati klientem služeb, abychom otestovali fyzickou bezpečnost průmyslového areálu a zjistili, zda bychom měli přístup k jejich řídicím sítím," líčí Werrett. "S Geostalkerem Trustwave identifikoval účet na sociálních médiích, který na místě zveřejňoval spoustu fotografií, a ukázalo se, že je zaměstnancem." Trustwave poté provedl phishingový útok, aby se pokusil přimět cíl, aby otevřel e-mail, který by nám umožnil přístup k informacím nebo síti společnosti. “
Ačkoli Trustwave primárně navrhl nástroj, který pomáhá uživateli vyhledávat účty na sociálních médiích lidí, kteří pracují na konkrétním místě, odhaluje mnohem větší problém: smět koneckonců nemusí být dobrý nápad neustále označovat svoji polohu na svých příspěvcích na Instagramu. A vážně, každý musí přestat kontrolovat místa svého bydliště a označovat jej jako „můj betlém“. Žádáte, aby vás okradli, nebo ještě hůře.
Cokoli vy a vaši přátelé zveřejníte na Facebooku, může (a pravděpodobně to bude) použito proti vám.
Vážně, pokud by z toho všeho měla být jedna lekce, měla by být mimořádně opatrná ohledně toho, co vy a vaši přátelé zveřejňujete na Facebooku (stejně jako na jiných sociálních médiích - a ano, opakujeme to znovu). Uzamčení nastavení ochrany osobních údajů by nemělo být jediným krokem, který podniknete k zajištění bezpečnosti svých údajů.
Trustwave také doporučuje, abyste byli opatrní na to, koho přijímáte jako kontakty na těchto webech, a abyste upozornili své online aktivnější přátele, kteří nechávají své profily na veřejnosti, na to, že nejen ohrožují jejich soukromí, ale i vaše. Nakonec zakažte přístup k poloze v rámci aplikací sociálních médií, které používáte ve svých mobilních zařízeních.
Prozatím mohou nástroj FBStalker používat pouze uživatelé se stroji Linux.
Od svého vydání minulý týden se však členové vývojářské komunity obrátili na tým a mají zájem o pokus o přenesení nástrojů do systému Windows. Do té doby jste omezeni na počítač podporující Linux a nějaké obecné know-how v oblasti kódování (prostředí Pythonu vám pomůže). Podívali jsme se na programátor skriptu a on viděl, že zatímco kdokoli může zamířit na Github a stáhnout si skript, před analýzou profilu bude vyzván k zadání hesla uživatele. To znamená, že vše, co budete potřebovat pro skenování, je kdokoliv je přihlášení na Facebooku.
Prozatím; kdo ví, jestli Trustwave z toho vyvine program, který skenuje všechny profily, ať už máte účet na Facebooku nebo ne. Nebo, ještě děsivější, nyní, když je kód venku, může kdokoli vytvořit ještě efektivnější nástroj s využitím sofistikovanější technologie narušující soukromí. Vše, co FBStalker dělá, je automatizace dotazů Graph Search pomocí informací, které jsou již nastaveny na veřejné, ale vzhledem k tomu, že lidé obvykle laxně hledají oznámení, značky a jemné tisky, je tento typ dat rozhodně zdrojem počítačové kriminality. Sečteno a podtrženo: jen proto, že dobří lidé tento nástroj nejprve vyvinuli (nebo alespoň oznámili), ještě neznamená, že podvodníci nedělají přesně to samé.
