Alles, was Sie über das Facebook-Tool FBStalker wissen müssen

Facebook hilft Marken, fbstalker zu sprechen

Es ist kein Geheimnis, dass Facebook damit beschäftigt war, die Privatsphäre, die Sie zuvor auf der Website genossen haben, zu beschneiden. Das ist der Deal, den wir gemacht haben, um weiterhin Benutzer zu sein, aber die Geißel einer neuen Funktion oder eines Richtlinienupdates führt uns immer wieder dazu, zu unseren Kontoeinstellungen zu wechseln und wahnsinnig zu versuchen, zu verstehen, wie wir uns schützen können. 

Das, oder du gibst auf, gibst auf und gibst alles an Facebook weiter. 

Der neueste Start, der es einfacher denn je gemacht hat, in Ihre persönlichen Daten einzudringen, ist Graph Search. Obwohl es Spaß macht und unglaublich aufschlussreich ist (zum Guten oder Schlechten), haben wir das Potenzial und die Größe dieses Tools noch nicht vollständig verstanden - bis jetzt. Es wurde ein kleines Element namens FBStalker entwickelt, mit dem Sie herausfinden können, was Ihre Schwächen sind und wie Sie sie ausnutzen können. Dies geschieht mithilfe der Diagrammsuche sowie anhand von Informationen, die Sie von Ihren Freunden erhalten haben. 

Wenn dich das nicht nur ein bisschen erschreckt, sollte es auch so sein. Folgendes müssen Sie wissen. 

Das FBStalker-Tool verwendet hauptsächlich die Grafiksuche von Facebook, um Daten zu sammeln, verwendet jedoch hauptsächlich die Informationen, die Sie in den Zeitleisten Ihrer Freunde teilen.

Wenn Sie bis jetzt nicht erkannt haben, wie leistungsfähig (und möglicherweise invasiv) der integrierte Suchmechanismus von Facebook ist, dann ist dies genau dort Ihr Hauptproblem. Wir können das nicht genug betonen, aber Sie sollten wirklich vorsichtig mit den Dingen sein, die Sie auf Social-Media-Websites wie Facebook teilen - insbesondere jetzt, da eine wichtige Funktion, mit der Sie verhindern können, dass Ihr Konto durchsucht werden kann, dauerhaft geschlossen wurde.

FBStalker ist ein Python-Skript, das von Keith Lee, einem in Singapur ansässigen Analysten von Trustwave, einem Unternehmen, das Daten schützt und Sicherheitsrisiken für seine Kunden verhindert, entwickelt wurde. Es funktioniert, indem die Informationen verwendet werden, die nicht nur in Ihrem Profil, sondern auch in denen Ihrer Freunde verfügbar sind. Aus diesen Daten kann das Tool Interaktionen zwischen Benutzern analysieren und aus den Likes, Kommentaren, Tags und Check-Ins, die Sie auf den Seiten anderer Personen veröffentlichen, eine Liste Ihrer engen Freunde ableiten.

Das FBStalker-Tool wurde entwickelt, um Kunden beim Testen ihrer eigenen Sicherheitseinstellungen zu unterstützen.

Während die Beschreibung des Tools schrecklich klingen mag, verwendet das Unternehmen, das es entwickelt hat, es tatsächlich für immer. „[Wir] haben eine Phishing-Kampagne mit FBStalker nur per E-Mail durchgeführt“, teilt Jonathan Werrett, Managing Consultant für Trustwave mit Sitz in Hongkong, mit, der auch Co-Forscher und Berater für das Projekt ist. „Das Unternehmen, mit dem wir zusammengearbeitet haben, wollte wissen, wo ihre Sicherheit am schwächsten ist. Durch FBStalker konnten wir feststellen, dass die Frau eines Mitarbeiters (durch Verbände) ein bestimmtes Pilates-Studio in der Region „gemocht“ hatte. Wir konnten dann feststellen, dass sie das Pilates-Studio besaß, was uns ein großartiges Thema gab, um mit ihr per E-Mail zu sprechen. Das Ziel war zu sehen, ob sie eine E-Mail zu diesem Thema öffnen würde, die dann ein schädliches Dokument sein könnte. “

Laut einem Nachrichtenbericht hat Trustwave eine E-Mail mit einem Video gesendet, das die Frau geöffnet hat. Der Anhang setzte Malware auf ihrem Computer frei, die übrigens Passwörter enthielt, die der Vorbesitzer, ihr Ehemann (der Trustwave engagiert hatte), dort hinterlassen hatte. Die Malware hat den Computer erfolgreich infiziert und Trustwave vollständigen Zugriff auf diese Kennwörter gewährt.

"Traditionell haben Hacker Phishing-E-Mail-Angriffe verwendet, die auf allgemeinen Themen basieren, um das Interesse eines Opfers zu wecken", erklärt Werrett. „Sie verwenden diese Themen mit dem Ziel, das Opfer dazu zu bringen, auf einen Link zu klicken oder eine böswillige Nutzlast zu öffnen. Wir haben Phishing-Angriffe in freier Wildbahn gesehen, bei denen es um Technologien, Nachrichtenquellen, an denen Mitarbeiter eines bestimmten Unternehmens interessiert sind, oder Betreffzeilen wie "Details zur Unternehmensabrechnung für September" geht. "

Werrett weist auch darauf hin, dass die meisten Social-Media-Websites „Open-Source-Informationen“ bereitstellen, die möglicherweise von Hackern verwendet werden können, um sehr spezifische „Speerfischerei“ -Angriffe auszuführen, ähnlich wie im früheren Pilates-Beispiel.

FBStalker kann alle Arten von relevanten Open-Source-Informationen offenlegen, die Sie zuvor für unbedeutend gehalten haben.

Jeder Online-Angreifer auf einer Mission kann Facebook als Ressource verwenden, um vorzutäuschen, viel über Sie zu wissen, und Sie so dazu ermutigen, sich dem Hacking zu öffnen. Als vorbeugende Maßnahme kann FBStalker anhand der Informationen auf Ihrer Timeline herausfinden, zu welcher Tageszeit Sie normalerweise auf Facebook posten und auf der Website am aktivsten sind. Dies hängt häufig mit der Zeit zusammen, die Sie mit der Beantwortung von E-Mails oder Sofortnachrichten verbringen. Ein Teil Ihrer Routine, der sich für Betrüger als nützlich erweisen kann, um Sie über Online-Korrespondenz anzusprechen.

FBStalker kann anhand der Anwendungen, die Sie auf der sozialen Website verwendet haben, auch herausfinden, welche Art von Mobilgerät Sie verwenden. Darüber hinaus können sie anhand der Geostandortdaten, die Ihr Telefon an einige Ihrer Timeline-Aktivitäten anfügt, herausfinden, wo Sie sich befinden. Dies kann möglicherweise dazu führen, dass Hacker herausfinden, wie oft Sie sich an einem bestimmten Ort befinden und ungefähr zu welcher Zeit. Die Mitarbeiter können sich über Ihren Arbeitsplan informieren und Ihren gesamten Alltag zusammenstellen. Sie können einen Shop in einem Ihrer regulären Treffpunkte einrichten und einen so genannten „bösen drahtlosen Hotspot“ erstellen, mit dem Kontoanmeldeinformationen oder andere vertrauliche Daten erfasst werden, wenn bestimmte Opfer eine Verbindung herstellen.

All diese Informationen, nur von Ihrem Smartphone und Ihrem Facebook-Konto.

Selbst wenn Sie der Meinung sind, dass Ihre Datenschutzeinstellungen erstklassig sind, sind Sie anfällig, solange Sie Ihrer Freundesliste Zugriff auf Ihre Inhalte gewähren.

Sie kennen das Sprichwort „Eine Kette ist nur so stark wie ihr schwächstes Glied“? Dies gilt vor allem für die Facebook-Sicherheit. Selbst wenn Sie Ihr Facebook-Profil vollständig gesperrt haben, können Sie Ihr Facebook-Profilfoto nicht schützen. Freunde kommentieren häufig Ihr neues Profilfoto oder klicken auf "Gefällt mir". „Diese Art von Aktivität kann von FBStalker erfasst und analysiert werden und hilft dabei, Ihre Facebook-Freunde zurückzuentwickeln“, sagt Werrett. Sobald FBStalker weiß, wer Ihre Freunde sind, kann es noch mehr über Sie herausfinden.

Trustwave hat auch ein ähnliches Tool namens GeoStalker entwickelt - genau so klingt es.

GeoStalker analysiert Inhalte, die auf Foursquare, Flickr, Instagram und Twitter veröffentlicht wurden - im Grunde jede soziale Website, die Geostandortinformationen enthalten kann. Das Tool findet diese Beiträge und zeichnet sie auf einer Google-Karte auf, sodass einer der Trustwave-Tester die Online-Aktivitäten in bestimmten Bereichen messen kann.

Nachdem GeoStalker die Konten von Personen gefunden hat, die von einem bestimmten Ort aus gepostet haben, korreliert das Tool diese Daten mit anderen sozialen Websites wie Youtube, Google+, Linkedin, Facebook, Twitter, Instagram und Flickr, um weitere Konten zu finden, mit denen eine Verbindung hergestellt werden kann die Benutzer.

„Wir wurden von einem Versorgungsunternehmen beauftragt, die physische Sicherheit eines Industriestandorts zu testen und festzustellen, ob wir auf dessen Kontrollnetzwerke zugreifen können“, berichtet Werrett. „Mit Geostalker hat Trustwave ein Social-Media-Konto identifiziert, das am Standort viele Fotos veröffentlicht hat, und es stellte sich heraus, dass es sich um einen Mitarbeiter handelt. Trustwave führte daraufhin einen Phishing-Angriff durch, um das Ziel dazu zu bringen, eine E-Mail zu öffnen, die uns Zugriff auf die Informationen oder das Netzwerk des Unternehmens gewährt hätte. “

Obwohl Trustwave das Tool in erster Linie entwickelt hat, um dem Benutzer bei der Suche nach Social-Media-Konten von Personen zu helfen, die an einem bestimmten Standort arbeiten, zeigt es ein viel größeres Problem: Es ist möglicherweise keine gute Idee, Ihren Standort ständig in Ihren Instagram-Posts zu markieren , Nach alldem. Und im Ernst, jeder muss aufhören, in seinen Wohnort einzuchecken und ihn als „mein Kinderbett“ zu bezeichnen. Sie möchten ausgeraubt werden oder noch schlimmer. 

Was auch immer Sie und Ihre Freunde auf Facebook posten, kann (und wird wahrscheinlich) gegen Sie verwendet werden.

Im Ernst, wenn es eine Lektion gab, die man von all dem mit nach Hause nehmen konnte, ist es besonders vorsichtig, was Sie und Ihre Freunde auf Facebook (sowie auf anderen Social-Media-Websites - und ja, wir sagen es noch einmal) veröffentlichen. Das Sperren Ihrer Datenschutzeinstellungen sollte nicht der einzige Schritt sein, den Sie unternehmen, um die Sicherheit Ihrer Daten zu gewährleisten.

Trustwave empfiehlt außerdem, dass Sie darauf achten, wen Sie als Kontakte auf diesen Websites akzeptieren, und dass Sie Ihre online aktiveren Freunde, die ihre Profile öffentlich machen, darauf aufmerksam machen, dass sie nicht nur ihre Privatsphäre gefährden, sondern auch Ihre. Deaktivieren Sie schließlich den Standortzugriff in den Social Media-Anwendungen, die Sie auf Ihren Mobilgeräten verwenden.

Derzeit können nur Benutzer mit Linux-Computern das FBStalker-Tool verwenden.

Seit der Veröffentlichung in der vergangenen Woche haben sich Mitglieder der Entwickler-Community an das Team gewandt und sind daran interessiert, die Tools auf Windows zu portieren. Bis dahin sind Sie auf einen Linux-unterstützenden PC und allgemeines Codierungs-Know-how beschränkt (Python-Erfahrung hilft). Wir haben uns das Skript von einem Programmierer angesehen, und er hat festgestellt, dass jeder, der zu Github gehen und das Skript herunterladen kann, vor der Analyse eines Profils zur Eingabe eines Benutzerkennworts aufgefordert wird. Dies bedeutet, dass Sie nur einen Facebook-Login benötigen, um einen Scan für jemanden durchzuführen .

Zumindest für jetzt; Wer weiß, ob Trustwave daraus ein Programm entwickelt, das alle Profile scannt, unabhängig davon, ob Sie einen Facebook-Account haben oder nicht. Oder, noch beängstigender, jetzt, da der Code da draußen ist, kann jeder ein noch effizienteres Tool mit ausgefeilterer und die Privatsphäre verletzender Technologie erstellen. Alles, was FBStalker tut, ist die Automatisierung von Graph Search-Abfragen unter Verwendung von Informationen, die bereits öffentlich sind. Angesichts der normalerweise nachlässigen Rücksichtnahme auf Benachrichtigungen, Tags und Kleingedruckte ist diese Art von Daten definitiv ein Futter für Cyberkriminalität. Fazit: Nur weil die Guten dieses Tool zuerst entwickelt (oder zumindest angekündigt) haben, heißt das nicht, dass die Betrüger da draußen nicht genau dasselbe tun.