Det er ingen hemmelighed, at Facebook har haft travlt med at fjerne det privatliv, du tidligere har haft på webstedet. Det er den aftale, vi har indgået for at fortsætte med at være brugere, men plagen med en ny funktion eller politikopdatering sender os ofte til vores kontoindstillinger og prøver vildt at forstå, hvordan vi kan beskytte os selv.
Det, eller hvis du giver op, giver efter og giver det hele til Facebook.
Den seneste lancering, der har gjort det lettere end nogensinde at grave i dine personlige data er Graph Search. Selvom det er sjovt og utroligt afslørende (på godt og ondt), har vi ikke helt forstået potentialet og størrelsen af dette værktøj - indtil nu. Lidt noget, der hedder FBStalker, er blevet udviklet, og det kan finde ud af, hvad dine svagheder er, og hvordan man udnytter dem, alt sammen ved hjælp af Graph Search samt information, der er hentet fra dine venner.
Hvis det ikke skræmmer dig bare lidt, skal det. Her er hvad du har brug for at vide.
FBStalker-værktøjet bruger primært Facebooks grafsøgning til at indsamle data, men bruger mest de oplysninger, du deler på dine venners tidslinjer.
Hvis du ikke nu har indset, hvor kraftfuld (og potentielt invasiv) Facebooks indbyggede søgemekanisme er, så er det dit største problem lige der. Vi kan ikke understrege dette nok, men du skal virkelig være forsigtig med de ting, du deler på sociale mediesider som Facebook - især nu hvor en vigtig funktion, der giver dig mulighed for at forhindre, at din konto kan søges, er lukket permanent.
FBStalker er et Python-script udviklet af Keith Lee, en Singapore-baseret analytiker for Trustwave, en virksomhed, der beskytter data og forhindrer sikkerhedsrisici for deres kunder. Det fungerer ved hjælp af de tilgængelige oplysninger, ikke kun på din profil, men også dine venners. Fra disse data kan værktøjet analysere interaktioner mellem brugere og udlede en liste over dine nære venner fra de likes, kommentarer, tags og check-ins, du lægger på andres sider.
FBStalker-værktøjet blev udviklet til at hjælpe klienter med at teste deres egne sikkerhedsindstillinger.
Mens beskrivelsen af værktøjet kan lyde forfærdeligt, bruger det firma, der udviklede det, det faktisk til det gode. "[Vi] gennemførte en phishing-kampagne med FBStalker ved blot at bruge e-mail", deler Jonathan Werrett, Managing Consultant for Trustwave med base i Hong Kong, også medforsker og konsulent for projektet. ”Virksomheden, vi arbejdede med, ønskede at vide, hvor deres sikkerhed var svagest. Gennem FBStalker var vi i stand til at identificere, at en medarbejders kone (gennem foreninger) havde 'ønsket' et specifikt pilatesstudie i området. Derefter kunne vi fastslå, at hun ejede pilatesstudiet, hvilket gav os et godt emne for at begynde at tale med hende via e-mail. Målet var at se, om hun ville åbne en e-mail om emnet, som derefter kunne være et ondsindet dokument. ”
Ifølge en nyhedsrapport sendte Trustwave en e-mail med en video, som konen åbnede. Vedhæftningen frigav malware på hendes computer, som i øvrigt indeholdt adgangskoder, der blev efterladt af den tidligere ejer, hendes mand (som hyrede Trustwave). Malwaren inficerede computeren med succes og gav Trustwave fuld adgang til disse adgangskoder.
"Traditionelt har hackere brugt 'phishing' e-mail-angreb baseret på generiske emner for at forsøge at få et offers interesse," forklarer Werrett. ”De bruger disse emner med det formål at få offeret til at klikke på et link eller åbne en ondsindet nyttelast. Vi har set phishing-angreb i naturen om emner om teknologier, nyhedskilder, som folk i et bestemt firma ville være interesseret i, eller emnelinjer som 'Company Payroll Details for September'. "
Werrett påpeger også, at de fleste sociale mediesider leverer "open source intelligence", der potentielt kan bruges af hackere til at lave meget specifikke "spydfiskeri" -angreb, svarende til det tidligere pilateseksempel.
FBStalker har evnen til at udsætte alle mulige relevante open source-intelligenser, som du tidligere troede var ubetydelige.
Enhver online angriber på en mission kan bruge Facebook som en ressource til at foregive at vide meget om dig og derved opfordre dig til at åbne dig selv for hacking. Som en forebyggende foranstaltning er FBStalker i stand til at bruge oplysningerne på din tidslinje til at finde ud af, hvilket tidspunkt på dagen du normalt sender på Facebook og er mest aktive på siden - dette er ofte bundet til den tid, du bruger på at besvare e-mails eller onlinemeddelelser, en del af din rutine, der kan vise sig nyttig for svindlere at målrette dig via online korrespondance.
FBStalker kan også finde ud af, hvilken type mobilenhed du bruger, baseret på de applikationer, du har brugt på det sociale websted. Derudover kan de også finde ud af, hvor du er baseret på de geografiske placeringsdata, som din telefon vedhæfter til nogle af dine tidslinjeaktiviteter. Dette kan potentielt få hackere til at finde ud af, hvor ofte du befinder dig et bestemt sted og omtrent på hvilket tidspunkt. Folk kan lære om din arbejdsplan og sammensætte hele din dag-til-dag. De kan etablere forretning på et af dine almindelige hangouts og oprette det, som Werrett kalder et "ondt trådløst hotspot", der er designet til at registrere kontooplysninger eller andre følsomme data, når specifikke ofre forbinder det.
Alle disse oplysninger, bare fra din smartphone og din Facebook-konto.
Selv når du tænke dine privatlivsindstillinger er førsteklasses, så længe du giver din venneliste adgang til dit indhold, er du sårbar.
Du kender ordsprog "En kæde er kun så stærk som dens svageste led"? Det gælder meget for Facebook-sikkerhed - selvom du har låst din Facebook-profil helt, er den ene ting, du ikke kan beskytte, dit Facebook-profilbillede. Venner kommenterer ofte dit nye profilbillede eller klikker "synes godt om." "Denne type aktivitet kan fanges og analyseres af FBStalker og hjælper med at" reverse engineer "dine Facebook-venner," siger Werrett. Når FBStalker ved, hvem dine venner er, kan den finde ud af endnu mere om dig.
Trustwave udviklede også et lignende værktøj kaldet GeoStalker - hvilket er præcis, hvad det lyder.
GeoStalker analyserer indhold, der er publiceret på Foursquare, Flickr, Instagram og Twitter - stort set ethvert socialt websted, der kan indeholde geografisk placeringsoplysninger. Værktøjet lokaliserer disse indlæg og plotter dem på et Google-kort, så en af Trustwaves testere kan måle onlineaktivitet i bestemte områder.
Efter at GeoStalker har fundet konti fra personer, der har sendt et bestemt sted, krydskorrigerer værktøjet disse data med andre sociale websteder som Youtube, Google+, Linkedin, Facebook, Twitter, Instagram og Flickr for at finde flere konti, der kan oprettes forbindelse til brugerne.
"Vi blev ansat af en forsyningsklient til at teste den fysiske sikkerhed på et industrianlæg og se, om vi ville være i stand til at få adgang til deres kontrolnetværk," fortæller Werrett. ”Med Geostalker identificerede Trustwave en social mediekonto, der postede en masse fotos, mens han var på stedet, og det viste sig at være en medarbejder. Trustwave gennemførte derefter et phishing-angreb for at forsøge at få målet til at åbne en e-mail, som ville have givet os adgang til virksomhedens information eller netværk. ”
Selvom Trustwave primært designet værktøjet til at hjælpe brugeren med at søge efter sociale mediekonti for mennesker, der arbejder et bestemt sted, afslører det et meget større problem: Det kan ikke være en god idé at tagge din placering hele tiden på dine Instagram-indlæg. Og seriøst skal alle stoppe med at tjekke ind på deres bopæl og mærke det som "min krybbe." Du beder om at blive røvet eller værre.
Uanset hvad du og dine venner sender på Facebook, kan (og sandsynligvis) bruges mod dig.
Seriøst, hvis der var en lektion at tage hjem fra alt dette, er det at være ekstra forsigtig med, hvad du og dine venner sender på Facebook (såvel som andre sociale mediesider - og ja, vi siger det igen). At låse dine privatlivsindstillinger ned bør ikke være det eneste skridt, du tager for at sikre dine informations sikkerhed.
Trustwave anbefaler også, at du er forsigtig med, hvem du accepterer som kontakter på disse websteder, og at du advarer dine mere onlineaktive venner, der forlader deres profiler offentligt, om at de ikke kun sætter deres privatliv i fare, men også din. Til sidst skal du deaktivere placeringsadgang inden for de sociale medieapplikationer, du bruger på dine mobile enheder.
Indtil videre er det kun brugere med Linux-maskiner, der kan bruge FBStalker-værktøjet.
Siden udgivelsen i sidste uge har medlemmer af udviklerfællesskabet imidlertid nået ud til teamet og er interesseret i at forsøge at overføre værktøjerne til Windows. Indtil da er du begrænset til en Linux-understøttende pc og en vis generel kodningskendskab (Python-oplevelse hjælper). Vi fik en programmør til at kigge på scriptet, og han så, at mens nogen kan gå til Github og downloade scriptet, bliver de bedt om en brugeradgangskode, før de analyserer en profil. Dette betyder, at alt hvad du behøver for at udføre en scanning på nogen som helst er et Facebook-login.
I det mindste for nu; hvem ved, om Trustwave vil udvikle det til et program, der scanner alle profiler, uanset om du har en Facebook-konto eller ej. Eller, skræmmende endnu, nu hvor koden er derude, kan enhver opbygge et endnu mere effektivt værktøj ved hjælp af mere sofistikeret og fortroligt teknologi. Alt, hvad FBStalker gør, er at automatisere grafsøgningsforespørgsler ved hjælp af oplysninger, der allerede er indstillet til offentligheden til at begynde med, men i betragtning af folks normalt slappe hensyn til meddelelser, tags og fine print er denne type data bestemt cyberkriminalitetsfoder. Bundlinje: bare fordi de gode fyre først udviklede dette værktøj (eller i det mindste annoncerede det) betyder det ikke, at svindlerne derude ikke gør nøjagtigt det samme.
