FacebookツールFBStalkerについて知っておくべきことすべて

Facebookがfbstalkerを話すブランドを助ける

Facebookが以前にサイト内で楽しんでいたプライバシーを奪い取ることで忙しいことは秘密ではありません。それがユーザーであり続けるために私たちが行ってきた取り決めですが、新しい機能やポリシーの更新の惨劇はたびたび私たちを自分のアカウント設定に向かわせ、狂ったように自分を守る方法を理解しようとしています。 

それか、あきらめて、譲って、それをすべてFacebookに渡してください。 

個人データをより簡単に掘り下げることができるようになった最新のリリースは、グラフ検索です。楽しくて信じられないほど明らかにしている(良いか悪いかは問わない)が、このツールの可能性と大きさを完全に理解しているわけではありません。FBStalkerと呼ばれる小さなものが開発されており、それはあなたの弱点が何であるか、そしてそれらをどのように悪用するかを見つけることができます。 

それがあなたを少し怖がらせないなら、それはそうすべきです。ここにあなたが知る必要があるものがあります。 

FBStalkerツールは主にFacebookのグラフ検索を使用してデータを収集しますが、ほとんどの場合、友達のタイムラインで共有する情報を使用します。

Facebookの組み込みの検索メカニズムがいかに強力で(そして潜在的には侵襲的)なのか、これまでに気づいていないのなら、それがまさにそこの主な問題です。これについては十分に強調することはできませんが、Facebookなどのソーシャルメディアサイトで共有するものには特に注意が必要です。特に、アカウントが検索されないようにするための重要な機能が完全に閉鎖されているためです。

FBStalkerは、データを保護し、クライアントのセキュリティリスクを防止する企業であるTrustwaveのシンガポールを拠点とするアナリスト、キースリーが開発したPythonスクリプトです。それはあなたのプロフィールだけでなくあなたの友達のすぐに利用できる情報を使用することによっても機能します。そのデータから、ツールはユーザー間の相互作用を分析し、高評価、コメント、タグ、他の人のページに投稿したチェックインから親しい友人のリストを推測できます。

FBStalkerツールは、クライアントが自分のセキュリティ設定をテストできるように開発されました。

ツールの説明は恐ろしいように聞こえるかもしれませんが、それを開発した会社は実際にそれを永久に使用しています。 「メールを使用してFBStalkerでフィッシングキャンペーンを実施しました」と、香港を拠点とするTrustwaveのマネージングコンサルタントであるJonathan Werrettは、プロジェクトの共同研究者およびコンサルタントでもあります。 「私たちが協力していた会社は、彼らのセキュリティが最も弱いところを知りたがっていました。 FBStalkerを通じて、従業員の妻(協会を通じて)がその地域の特定のピラティススタジオを「気に入った」ことを確認できました。その後、彼女がピラティススタジオを所有していることを確認できたため、メールで彼女と話し始めるのに最適なトピックがわかりました。目標は、このトピックについてメールを開くかどうかを確認することでした。そのメールは悪意のあるドキュメントになる可能性があります。」

ニュースレポートによると、Trustwaveはビデオを含むメールを送信し、妻がそれを開きました。添付ファイルは、以前の所有者である夫(Trustwaveを雇った)が残したパスワードを偶然に含んでいたマルウェアを彼女のコンピューターに解き放ちました。マルウェアはコンピュータへの感染に成功し、Trustwaveにこれらのパスワードへの完全なアクセス権を与えました。

「伝統的に、ハッカーは一般的なトピックに基づいた「フィッシング」電子メール攻撃を使用して、被害者の興味を引こうとしました」とWerrettは説明します。「これらのトピックは、被害者にリンクをクリックするか、悪意のあるペイロードを開かせることを目的として使用します。テクノロジー、特定の企業の人々が関心を示すであろうニュースソース、または「9月の会社の給与明細」などの件名に関するワイルドユーストピックでのフィッシング攻撃を見てきました。」

ウェレットはまた、ほとんどのソーシャルメディアサイトが「オープンソースインテリジェンス」を提供し、ハッカーが以前のピラティスの例と同様に、非常に特殊な「スピアフィッシング」攻撃を仕掛けるために使用する可能性があることも指摘しています。

FBStalkerには、以前は重要ではないと考えていたあらゆる種類の関連するオープンソースインテリジェンスを公開する機能があります。

ミッションのオンライン攻撃者は誰でもFacebookをリソースとして使用して、あなたについて多くのことを知っているふりをすることができます。先制措置として、FBStalkerはタイムラインの情報を使用して、通常Facebookに投稿し、サイトで最もアクティブな時間を確認できます。これは、メールやインスタントメッセージへの応答に費やす時間に関係していることがよくあります。詐欺師がオンライン通信を介してあなたをターゲットにするのに役立つかもしれないあなたのルーチンの一部。

FBStalkerは、ソーシャルサイト内で使用したアプリケーションに基づいて、使用しているモバイルデバイスのタイプを見つけることもできます。さらに、電話がタイムラインアクティビティの一部に関連付けられている地理位置データに基づいて、どこにいるかを確認することもできます。これにより、ハッカーがあなたが特定の場所にいる頻度と、おおよその時間を知る可能性があります。人々はあなたの仕事のスケジュールについて学び、あなたの日々の全体をつなぎ合わせることができます。彼らは通常のたまり場の1つに店を構え、特定の被害者がそれに接続したときにアカウントの資格情報やその他の機密データをキャプチャするように設計された、「悪意のあるワイヤレスホットスポット」と呼ばれるものを作成できます。

スマートフォンとFacebookアカウントからのすべての情報。

プライバシー設定が一流だと思っていても、友達リストにコンテンツへのアクセスを許可している限り、脆弱です。

「チェーンは最も弱いリンクと同じくらい強い」という格言を知っていますか?これはFacebookのセキュリティに非常に当てはまります。Facebookのプロフィールを完全にロックしたとしても、保護できないのはFacebookのプロフィール写真です。友達はよくあなたの新しいプロフィール写真にコメントするか、「いいね」をクリックします。「このタイプのアクティビティはFBStalkerでキャプチャして分析でき、Facebookの友達を「リバースエンジニアリング」するのに役立ちます」とWerrettは言います。FBStalkerがあなたの友達が誰であるかを知ると、あなたについてもっと知ることができます。

Trustwaveは、GeoStalkerと呼ばれる同様のツールも開発しました。

GeoStalkerは、Foursquare、Flickr、Instagram、Twitterに投稿されたコンテンツを分析します。基本的に、地理位置情報を含む可能性のあるソーシャルサイトです。ツールはこれらの投稿を見つけてGoogleマップ上にプロットし、Trustwaveのテスターの1人が特定の領域でのオンライン活動を測定できるようにします。

GeoStalkerが特定の場所から投稿したユーザーのアカウントを見つけた後、ツールはこのデータをYoutube、Google +、Linkedin、Facebook、Twitter、Instagram、Flickrなどの他のソーシャルサイトと相互相関させて、接続可能なアカウントをさらに見つけますユーザー。

「私たちは、工業用地の物理的なセキュリティをテストし、それらの制御ネットワークにアクセスできるかどうかを確認するためにユーティリティクライアントに雇われました」とWerrett氏は振り返ります。 「Geostalkerを使用して、Trustwaveはその場所にいる間に多くの写真を投稿していたソーシャルメディアアカウントを特定し、スタッフメンバーであることが判明しました。その後、Trustwaveはフィッシング攻撃を仕掛け、標的に電子メールを開かせようとしました。これにより、会社の情報やネットワークへのアクセスが可能になりました。」

Trustwaveは主にユーザーが特定の場所で働く人々のソーシャルメディアアカウントを検索できるようにツールを設計しましたが、はるかに大きな問題が明らかになります:Instagramの投稿で常に場所にタグを付けるのは良い考えでないかもしれません、 結局。そして真剣に、誰もが自分の居住地にチェックインして、それを「私のベビーベッド」と名づけるのをやめる必要があります。あなたは強盗、またはさらに悪いことを求めています。 

あなたやあなたの友達がFacebookに投稿したものは何でも(そしておそらく今後も)あなたに対して使用されるかもしれません。

真剣に、このすべてから家に帰る1つのレッスンがあった場合、それはあなたとあなたの友人がFacebook(および他のソーシャルメディアサイトと同様に-そしてはい、私たちはそれをもう一度言っている)に投稿しているものに余分に注意することです。プライバシー設定をロックダウンすることが、情報の安全性を確保するための唯一の手順ではありません。

Trustwaveはまた、これらのサイトの連絡先として誰を受け入れるかに注意すること、そして彼らのプライバシーを危険にさらしているだけでなくあなたのプロフィールも同様に公開しているという事実を彼らのプロフィールを公開しているよりオンラインでアクティブな友人に警告することをお勧めします。最後に、モバイルデバイスで使用するソーシャルメディアアプリケーション内の位置情報アクセスを無効にします。

現時点では、Linuxマシンを使用しているユーザーのみがFBStalkerツールを使用できます。

ただし、先週のリリース以来、開発者コミュニティのメンバーはチームに連絡を取り、ツールをWindowsに移植しようとすることに興味を持っています。それまでは、Linux対応のPCと一般的なコーディングのノウハウに限られます(Pythonの経験が役立ちます)。プログラマーにスクリプトを見てもらいましたが、誰もがGithubにアクセスしてスクリプトをダウンロードできる一方で、プロファイルを分析する前にユーザーパスワードの入力を求められることがわかりました。つまり、誰でもスキャンを実行するために必要なのはFacebookのログインだけです。

少なくとも今のところは。あなたがFacebookアカウントを持っているかどうかにかかわらず、Trustwaveがそれをすべてのプロファイルをスキャンするプログラムに開発するかどうかを知っています。または、さらに恐ろしいことに、コードが公開された今、誰もが、より洗練されたプライバシー保護技術を使用して、さらに効率的なツールを構築できます。FBStalkerが行うのは、最初から既にパブリックに設定されている情報を使用してグラフ検索クエリを自動化することですが、通常、通知、タグ、細かい印刷物に対する人々の怠慢を考えると、このタイプのデータは間違いなくサイバー犯罪の餌です。結論:このツールを最初に開発した(または少なくとも発表した)からといって、そこにいる詐欺師がまったく同じことを行っていないわけではありません。