Todo lo que necesitas saber sobre una pequeña aplicación llamada FBStalker - Medios De Comunicación Social - 2019

Anonim

No es ningún secreto que Facebook ha estado ocupado reduciendo la privacidad que anteriormente disfrutaba en el sitio. Ese es el trato que hemos hecho para continuar siendo usuarios, pero de vez en cuando el flagelo de una nueva característica o actualización de la política nos envía a la configuración de nuestra cuenta, tratando locamente de entender cómo protegernos.

Eso, o te rindes, cedes y le das todo a Facebook.

El último lanzamiento que ha hecho que sea más fácil que nunca profundizar en sus datos personales es Graph Search. Aunque es divertido e increíblemente revelador (para bien o para mal), no hemos entendido totalmente el potencial y la magnitud de esta herramienta, hasta ahora. Se ha desarrollado algo pequeño llamado FBStalker, y puede descubrir cuáles son sus debilidades y cómo explotarlas, todo usando Graph Search así como información extraída de sus amigos.

Si eso no te asusta un poco, debería hacerlo. Esto es lo que necesita saber.

La herramienta FBStalker utiliza principalmente la búsqueda de gráficos de Facebook para recopilar datos, pero principalmente utiliza la información que usted comparte en los Timelines de sus amigos.

Si aún no te has dado cuenta de cuán poderoso (y potencialmente invasivo) es el mecanismo de búsqueda integrado de Facebook, ese es tu problema principal allí mismo. No podemos enfatizar esto lo suficiente, pero debe tener cuidado con las cosas que comparte en los sitios de redes sociales como Facebook, especialmente ahora que una función importante que le permite mantener su cuenta sin búsquedas se ha cerrado de forma permanente.

FBStalker es un script de Python desarrollado por Keith Lee, un analista con sede en Singapur para Trustwave, una compañía que protege los datos y evita los riesgos de seguridad para sus clientes. Funciona al usar la información disponible no solo en su perfil, sino también en el de sus amigos. A partir de esos datos, la herramienta puede analizar las interacciones entre los usuarios e inferir una lista de sus amigos cercanos a partir de los "me gusta", los comentarios, las etiquetas y los registros que publica en las páginas de otras personas.

La herramienta FBStalker fue desarrollada para ayudar a los clientes a probar su propia configuración de seguridad.

Si bien la descripción de la herramienta puede sonar horrible, la compañía que la desarrolló realmente la usa para siempre. "[Nosotros] realizamos una campaña de phishing con FBStalker simplemente usando el correo electrónico", comparte Jonathan Werrett, consultor administrativo de Trustwave con sede en Hong Kong, también co-investigador y consultor del proyecto. "La compañía con la que estábamos trabajando quería saber dónde su seguridad era más débil. A través de FBStalker, pudimos identificar que la esposa de un empleado (a través de asociaciones) le había "gustado" un estudio de pilates específico en el área. Luego pudimos determinar que ella era dueña del estudio Pilates, que nos brindó un excelente tema para comenzar a hablar con ella por correo electrónico. El objetivo era ver si ella abriría un correo electrónico sobre el tema, que luego podría ser un documento malicioso ".

Según un informe de noticias, Trustwave envió un correo electrónico con un video, que la esposa abrió. El archivo adjunto desató malware en su computadora, que por cierto contenía contraseñas dejadas allí por su dueño anterior, su esposo (quien contrató a Trustwave). El malware infectó con éxito la computadora y le dio a Trustwave acceso completo a estas contraseñas.

"Tradicionalmente, los hackers han utilizado ataques de correo electrónico 'phishing' basados ​​en temas genéricos para tratar de despertar el interés de la víctima", explica Werrett. "Usan estos temas con el objetivo de hacer que la víctima haga clic en un enlace o abra una carga maliciosa. Hemos visto ataques de phishing en los temas de uso salvaje sobre tecnologías, fuentes de noticias en las que estaría interesada la gente de una compañía específica, o líneas de asunto como "Detalles de la nómina de la empresa para septiembre".

Werrett también señala que la mayoría de los sitios de redes sociales ofrecen "inteligencia de código abierto" que los piratas informáticos podrían utilizar para crear ataques muy específicos de "pesca con arpón", similar al ejemplo anterior de pilates.

FBStalker tiene la capacidad de exponer todo tipo de inteligencia de fuente abierta pertinente que antes creías insignificante.

Cualquier atacante en línea en una misión puede usar Facebook como un recurso para fingir que sabe mucho sobre usted, lo que lo anima a abrirse a la piratería. Como medida preventiva, FBStalker puede usar la información en su línea de tiempo para averiguar a qué hora del día publica generalmente en Facebook y está más activo en el sitio; esto a menudo está relacionado con el tiempo que pasa respondiendo correos electrónicos o mensajes instantáneos. una parte de su rutina que puede resultar útil para que los estafadores lo dirijan a usted a través de la correspondencia en línea.

FBStalker también puede averiguar qué tipo de dispositivo móvil utiliza, según las aplicaciones que ha utilizado en el sitio social. Además, también pueden averiguar dónde se encuentra basado en los datos de ubicación geográfica que su teléfono agrega a algunas de las actividades de su Línea de tiempo. Esto puede llevar a los hackers a descubrir con qué frecuencia estás en un determinado lugar y aproximadamente a qué hora. Las personas pueden aprender sobre su horario de trabajo y reconstruir todo su día a día. Pueden establecer una tienda en uno de sus lugares de reunión habituales y crear lo que Werrett llama un "punto de acceso inalámbrico maligno", diseñado para capturar las credenciales de la cuenta u otros datos confidenciales cuando se conectan víctimas específicas.

Toda esa información, solo desde su teléfono inteligente y su cuenta de Facebook.

Incluso cuando piense que su configuración de privacidad es de primera categoría, siempre que le dé acceso a su contenido a la lista de amigos, usted es vulnerable.

¿Conoces el adagio "Una cadena es tan fuerte como su eslabón más débil"? Se aplica mucho a la seguridad de Facebook: incluso si ha bloqueado por completo su perfil de Facebook, lo único que no puede proteger es su foto de perfil de Facebook. Los amigos suelen comentar su nueva foto de perfil o hacer clic en 'me gusta'. "Este tipo de actividad puede ser capturada y analizada por FBStalker y ayuda a 'aplicar ingeniería inversa' a tus amigos de Facebook", dice Werrett. Una vez que FBStalker sepa quiénes son tus amigos, puede descubrir aún más sobre ti.

Trustwave también desarrolló una herramienta similar llamada GeoStalker, que es exactamente lo que parece.

GeoStalker analiza el contenido publicado en Foursquare, Flickr, Instagram y Twitter, básicamente cualquier sitio social que pueda contener información de geolocalización. La herramienta localiza estas publicaciones y las traza en un mapa de Google, lo que permite que uno de los evaluadores de Trustwave mida la actividad en línea en áreas específicas.

Después de que GeoStalker encuentra las cuentas de las personas que publicaron desde una ubicación específica, la herramienta correlaciona esta información con otros sitios sociales como Youtube, Google+, Linkedin, Facebook, Twitter, Instagram y Flickr para encontrar más cuentas a las que se puede conectar. Los usuarios.

"Fuimos contratados por un cliente de servicios públicos para probar la seguridad física de un sitio industrial y ver si podíamos acceder a sus redes de control", recuerda Werrett. "Con Geostalker, Trustwave identificó una cuenta de redes sociales que estaba publicando muchas fotos mientras estaba en el lugar y resultó ser un miembro del personal. Luego, Trustwave realizó un ataque de phishing para tratar de lograr que el objetivo abriera un correo electrónico que nos habría dado acceso a la información o red de la compañía ".

Aunque Trustwave diseñó principalmente la herramienta para ayudar al usuario a buscar las cuentas de las redes sociales de las personas que trabajan en una ubicación en particular, revela un problema mucho mayor: no es una buena idea etiquetar su ubicación todo el tiempo en sus publicaciones de Instagram., después de todo. Y, en serio, todos deben dejar de registrarse en sus lugares de residencia y etiquetarlo como "mi cuna". Están pidiendo que les roben, o algo peor.

Lo que usted y sus amigos publiquen en Facebook puede (y probablemente lo hará) ser utilizado en su contra.

En serio, si hay una lección para llevar a casa de todo esto, es ser demasiado cauteloso sobre lo que usted y sus amigos están publicando en Facebook (así como en otros sitios de redes sociales, y sí, lo estamos diciendo de nuevo). Bloquear su configuración de privacidad no debe ser el único paso que tome para garantizar la seguridad de su información.

Trustwave también recomienda que tenga cuidado de a quién acepta como contactos en estos sitios y que advierta a sus amigos más activos en línea que dejan sus perfiles públicos al hecho de que no solo están poniendo en riesgo su privacidad, sino la suya también. Por último, deshabilite el acceso a la ubicación dentro de las aplicaciones de redes sociales que usa en sus dispositivos móviles.

Por ahora, solo los usuarios con máquinas Linux pueden usar la herramienta FBStalker.

Sin embargo, desde su lanzamiento la semana pasada, los miembros de la comunidad de desarrolladores se han comunicado con el equipo y están interesados ​​en intentar transferir las herramientas a Windows. Hasta entonces, estás limitado a una PC compatible con Linux y algunos conocimientos generales de codificación (la experiencia de Python ayudará). Hicimos que un programador revisara el guión, y él vio que aunque cualquiera puede dirigirse a Github y descargar el guión, se le pedirá una contraseña de usuario antes de analizar un perfil. Esto significa que todo lo que necesitará para realizar un escaneo en cualquier persona es un inicio de sesión en Facebook.

Por ahora; quién sabe si Trustwave lo desarrollará en un programa que escanea todos los perfiles, ya sea que tenga una cuenta de Facebook o no. O, aún más atemorizante, ahora que el código está disponible, cualquiera puede construir una herramienta aún más eficiente utilizando tecnología más sofisticada y que rompe la privacidad. Todo lo que hace FBStalker es automatizar las consultas de Graph Search utilizando información que ya está configurada para público, pero teniendo en cuenta que la gente suele ser poco estricta con las notificaciones, las etiquetas y las impresiones finas, este tipo de datos es definitivamente un cibercrimen. En pocas palabras: solo porque los buenos chicos desarrollaron esta herramienta primero (o al menos lo anunciaron) no significa que los estafadores no estén haciendo exactamente lo mismo.