网络安全公司Trustwave发布了一款开源工具,通过自动匹配姓名和个人资料图片,在社交媒体平台上查找大量用户的账户。
该公司表示,这款名为“Social Mapper”的工具是为渗透测试人员设计的,他们经常在客户公司的员工中进行测试,以测试安全措施,并获得电脑。通过展示真正的攻击者如何说服员工将他们的登录凭证交给骗子,测试人员可以帮助公司进行培训和技术对策,使这些攻击变得不那么可行。
Trustwave的威胁情报经理卡尔•西格勒表示:“这个工具基本上是出于需要。”“多年来,我们发现,我们参与的许多妥协和违背,通常是最初的足迹,来自于社会工程的攻击。”
用户向各种社交网络提供他们自己的登录凭证,以及一个指定他们感兴趣的人的姓名和面部图像的文件。该工具随后登录到特定的社交网络,如Facebook、LinkedIn、Instagram、VKontakte和微博,并使用这些网站的搜索工具和开源面部识别工具来查找和记录可能的匹配。
Trustwave的研究人员雅各布•威金斯在一篇博客文章中指出,一旦找到匹配对象,他们就可以在社交媒体网站上与用户进行好友关系,并向他们发送钓鱼链接,或者利用来自网站的数据来制作个性化的钓鱼邮件。
西格勒说:“收集所有这些信息,我们就能制造出非常引人注目的鱼叉式网络钓鱼信函。”
据《华盛顿邮报》报道,Trustwave已经在其渗透工作中使用了这一工具,以消除乏味的手工社交媒体研究。
“这真的不是那么复杂——我们没有使用任何API,”西格尔说。“实际上,这只是一个在社交网络上拥有账户和访问公开数据的问题。”
尽管如此,该工具还是引发了一些担忧,即它是否可以用于恶意目的或侵犯人们的隐私。
北加州美国公民自由联盟的技术和公民自由律师马特卡格尔说:“像这样的工具可以让人们看到社交媒体用户的信息,而这些用户并不期望落入第三方的手中。”“重要的是,工具背后的人会考虑他们的责任,以确保这些工具没有被滥用的时机。”
卡格尔说,许多社交网络在默认情况下都能看到姓名和个人资料照片等个人资料。Facebook最近采取了一些措施,通过禁用一项功能,让用户通过电子邮件地址或电话号码搜索潜在的朋友,从而限制网站上的账户自动抓取。此前,Facebook发现,该功能被用于系统地收集许多服务用户的公共资料数据。该公司的一位发言人表示,该公司正在与Trustwave联系社交网站。
该发言人在给Fast Company的一封电子邮件中表示:“我们正在与社交网站的团队进行接触,讨论他们的工具,并强调遵守我们的服务条款的重要性。”“要明确的是,使用自动化工具来抓取内容是违反我们的政策,目的是让人们在Facebook上保持安全。”
LinkedIn最近卷入了一场与一家公司的法律纠纷,该公司从其网站上抓取数据,但该公司没有回应《快公司》关于社交搜索器的调查。
西格尔说,许多恶意黑客可能已经拥有了工具,他们可以用这些工具来系统地抓取社交媒体网站,以进行网络钓鱼,无论他们使用面部识别软件,还是只是手动将面部图像与其他数据来源相匹配。他说,社交地图上的Mapper无法访问任何尚未公开的数据。
他说:“这一直是一种猫捉老鼠的游戏——我们正试图模仿我们已经看到罪犯使用的技术。”“这并不是什么都没做过的事。”
本文网址:
