Alt du trenger å vite om Facebook-verktøyet FBStalker

facebook hjelpemerker snakker fbstalker

Det er ingen hemmelighet at Facebook har vært opptatt med å redusere personvernet du tidligere likte på nettstedet. Det er avtalen vi har inngått for å fortsette å være brukere, men med jevne mellomrom gir plagen til en ny funksjon eller policyoppdatering oss kursen mot kontoinnstillingene våre, og prøver å forstå hvordan vi skal beskytte oss.

Det, eller du gir opp, gir deg og gir alt til Facebook.

Den siste lanseringen som har gjort det enklere enn noensinne å grave i dine personlige data er Graph Search. Selv om det er morsomt og utrolig avslørende (på godt og vondt), har vi ikke helt forstått potensialet og omfanget av dette verktøyet - til nå. Litt som heter FBStalker har blitt utviklet, og det kan finne ut hva dine svakheter er og hvordan du kan utnytte dem, alt ved hjelp av Graph Search, samt informasjon hentet fra vennene dine.

Hvis det ikke skremmer deg bare litt, burde det. Her er hva du trenger å vite.

FBStalker-verktøyet bruker primært Facebooks grafsøk for å samle inn data, men bruker mest informasjonen du deler på vennenes tidslinjer.

Hvis du ikke nå har forstått hvor kraftig (og potensielt invasiv) Facebooks innebygde søkemekanisme er, så er det ditt største problem akkurat der. Vi kan ikke understreke dette nok, men du bør virkelig være forsiktig med ting du deler på sosiale medier som Facebook - spesielt nå som en viktig funksjon som gjør at du kan forhindre at kontoen din blir søkbar, er lukket permanent.

FBStalker er et Python-skript utviklet av Keith Lee, en Singapore-basert analytiker for Trustwave, et selskap som beskytter data og forhindrer sikkerhetsrisiko for sine kunder. Det fungerer ved å bruke informasjonen som er tilgjengelig, ikke bare i profilen din, men også på vennene dine. Fra disse dataene kan verktøyet analysere interaksjoner mellom brukere og utlede en liste over dine nære venner fra likes, kommentarer, tagger og innsjekkinger du legger ut på andres sider.

FBStalker-verktøyet ble utviklet for å hjelpe klienter med å teste sine egne sikkerhetsinnstillinger.

Selv om beskrivelsen av verktøyet kan høres forferdelig ut, bruker selskapet som utviklet det faktisk for godt. "[Vi] gjennomførte en phishing-kampanje med FBStalker ved å bare bruke e-post," deler Jonathan Werrett, Managing Consultant for Trustwave basert i Hong Kong, også medforsker og konsulent for prosjektet. “Selskapet vi jobbet med ønsket å vite hvor sikkerheten deres var svakest. Gjennom FBStalker klarte vi å identifisere at en ansattes kone (gjennom foreninger) hadde ‘likt’ et spesifikt pilatesstudio i området. Vi kunne da bestemme at hun eide pilatesstudioet, noe som ga oss et flott tema å begynne å snakke med henne via e-post. Målet var å se om hun ville åpne en e-post om emnet, som da kunne være et ondsinnet dokument. ”

I følge en nyhetsrapport sendte Trustwave en e-post med en video, som kona åpnet. Vedlegget løsnet skadelig programvare på datamaskinen hennes, som for øvrig inneholdt passord som var igjen av den tidligere eieren, mannen hennes (som hyret Trustwave). Skadelig programvare infiserte datamaskinen og ga Trustwave full tilgang til disse passordene.

"Tradisjonelt har hackere brukt 'phishing' e-postangrep basert på generiske emner for å prøve å få et offers interesse," forklarer Werrett. “De bruker disse emnene med det formål å få offeret til å klikke på en lenke eller åpne en ondsinnet nyttelast. Vi har sett phishing-angrep i naturen, bruker emner om teknologier, nyhetskilder folk fra et bestemt selskap vil være interessert i, eller emnelinjer som "Company Payroll Details for September". "

Werrett påpeker også at de fleste sosiale medier viser "åpen kildekode-intelligens" som potensielt kan brukes av hackere til å lage veldig spesifikke "spydfiske" -angrep, i likhet med det tidligere pilateseksemplet.

FBStalker har evnen til å avsløre alle slags relevant åpen kildekode-intelligens du tidligere trodde var ubetydelig.

Enhver online angriper på et oppdrag kan bruke Facebook som en ressurs for å late som om han vet mye om deg, og derved oppmuntre deg til å åpne deg for hacking. Som et forebyggende tiltak er FBStalker i stand til å bruke informasjonen på tidslinjen din for å finne ut hvilken tid på dagen du vanligvis legger ut på Facebook og er mest aktive på nettstedet - dette er ofte knyttet til tiden du bruker på å svare på e-post eller direktemeldinger, en del av rutinen din som kan være nyttig for svindlere å målrette deg via online korrespondanse.

FBStalker kan også finne ut hvilken type mobilenhet du bruker, basert på applikasjonene du har brukt på det sosiale nettstedet. I tillegg kan de også finne ut hvor du er basert på geografiske posisjonsdata telefonen din legger til noen av tidslinjeaktivitetene dine. Dette kan potensielt føre hackere til å finne ut hvor ofte du er på et bestemt sted og omtrent på hvilket tidspunkt. Folk kan lære om arbeidsplanen din og sette sammen hele dagen til dag. De kan opprette butikk på et av dine vanlige hangouts og lage det som Werrett kaller et "ondt trådløst hotspot", designet for å fange kontoopplysninger eller andre sensitive data når spesifikke ofre kobler seg til det.

All den informasjonen, bare fra smarttelefonen din og Facebook-kontoen din.

Selv når du synes at personverninnstillingene dine er førsteklasses, så lenge du gir vennelisten din tilgang til innholdet ditt, er du sårbar.

Du kjenner ordtaket "En kjede er bare så sterk som den svakeste lenken"? Det gjelder veldig mye Facebook-sikkerhet - selv om du har låst helt Facebook-profilen din, er den ene tingen du ikke kan beskytte Facebook-profilbildet ditt. Venner kommenterer ofte det nye profilbildet ditt eller klikker "liker." "Denne typen aktivitet kan fanges opp og analyseres av FBStalker og hjelper deg med å" reverse engineer "dine Facebook-venner," sier Werrett. Når FBStalker vet hvem vennene dine er, kan den finne ut mer om deg.

Trustwave utviklet også et lignende verktøy som heter GeoStalker - som det akkurat høres ut som.

GeoStalker analyserer innhold lagt ut på Foursquare, Flickr, Instagram og Twitter - i utgangspunktet ethvert sosialt nettsted som kan inneholde informasjon om geografisk plassering. Verktøyet lokaliserer disse innleggene og plotter dem på et Google-kart, slik at en av Trustwaves testere kan måle aktivitet på nettet i bestemte områder.

Etter at GeoStalker har funnet kontoene til folk som har lagt ut innlegg fra et bestemt sted, kryss korrelerer verktøyet disse dataene med andre sosiale nettsteder som Youtube, Google+, Linkedin, Facebook, Twitter, Instagram og Flickr for å finne flere kontoer som kan kobles til brukerne.

"Vi ble ansatt av en klient for å teste den fysiske sikkerheten til et industriområde og se om vi kunne få tilgang til deres kontrollnettverk," forteller Werrett. “Med Geostalker identifiserte Trustwave en sosial mediekonto som la ut mange bilder mens han var på stedet, og det viste seg å være en medarbeider. Trustwave gjennomførte deretter et phishing-angrep for å prøve å få målet til å åpne en e-post som ville gitt oss tilgang til selskapets informasjon eller nettverk. "

Selv om Trustwave primært designet verktøyet for å hjelpe brukeren med å søke etter sosiale mediekontoer til folk som jobber på et bestemt sted, avslører det et mye større problem: Det kan ikke være en god ide å merke posisjonen din hele tiden på Instagram-innleggene dine, tross alt. Og seriøst, alle må slutte å sjekke inn på bostedene sine og merke det som "min barneseng." Du ber om å bli ranet, eller verre.

Uansett hva du og vennene dine legger ut på Facebook kan (og sannsynligvis vil) bli brukt mot deg.

Seriøst, hvis det var en leksjon å ta med hjem fra alt dette, er det å være ekstra forsiktig med hva du og vennene dine legger ut på Facebook (så vel som andre sosiale medier) - og ja, vi sier det igjen). Å låse personverninnstillingene dine bør ikke være det eneste trinnet du tar for å sikre informasjonen din sikkerhet.

Trustwave anbefaler også at du er forsiktig med hvem du godtar som kontakter på disse nettstedene, og at du varsler dine mer onlineaktive venner som forlater profilene sine offentlig for at de ikke bare setter personvernet ditt i fare, men også ditt. Til slutt, deaktiver posisjonstilgang i sosiale medieapplikasjoner du bruker på dine mobile enheter.

Foreløpig er det bare brukere med Linux-maskiner som kan bruke FBStalker-verktøyet.

Siden utgivelsen i forrige uke har medlemmer av utviklermiljøet imidlertid nådd ut til teamet og er interessert i å prøve å overføre verktøyene til Windows. Inntil da er du begrenset til en Linux-støttet PC og litt generell kodingskunnskap (Python-erfaring vil hjelpe). Vi fikk en programmerer til å se på skriptet, og han så at mens alle kan gå til Github og laste ned skriptet, blir de bedt om å oppgi et brukerpassord før de analyserer en profil. Dette betyr at alt du trenger for å utføre en skanning på hvem som helst er en Facebook-pålogging.

I hvert fall for nå; hvem vet om Trustwave vil utvikle det til et program som skanner alle profiler, enten du har en Facebook-konto eller ikke. Eller, skremmende ennå, nå som koden er der ute, kan alle bygge et enda mer effektivt verktøy ved hjelp av mer sofistikert og personvernbrytende teknologi. Alt FBStalker gjør er å automatisere Graph Search-spørsmål ved hjelp av informasjon som allerede er satt til offentlig til å begynne med, men med tanke på folks vanligvis slappe hensyn til varsler, koder og fine utskrifter, er denne typen data definitivt nettkriminalitet. Poenget: bare fordi de gode karene først utviklet dette verktøyet (eller i det minste kunngjorde det), betyr ikke det at svindlerne der ute ikke gjør nøyaktig det samme.

Siste innlegg