Ce n'est un secret pour personne que Facebook a été occupé à réduire la confidentialité dont vous bénéficiez auparavant sur le site. C'est l'accord que nous avons conclu pour continuer à être des utilisateurs, mais de temps en temps, le fléau d'une nouvelle fonctionnalité ou mise à jour de politique nous pousse à nous diriger vers les paramètres de notre compte, essayant follement de comprendre comment nous protéger.
Cela, ou vous abandonnez, cédez et abandonnez tout à Facebook.
Le dernier lancement qui a rendu plus facile que jamais l'exploration de vos données personnelles est Graph Search. Bien que amusant et incroyablement révélateur (pour le meilleur ou pour le pire), nous n'avons pas totalement compris le potentiel et l'ampleur de cet outil - jusqu'à présent. Un petit quelque chose appelé FBStalker a été développé, et il peut découvrir quelles sont vos faiblesses et comment les exploiter, le tout en utilisant Graph Search ainsi que des informations extraites de vos amis.
Si cela ne vous fait pas peur un peu, ça devrait. Voici ce que vous devez savoir.
L'outil FBStalker utilise principalement la recherche graphique de Facebook pour collecter des données, mais utilise principalement les informations que vous partagez sur les chronologies de vos amis.
Si vous n'avez pas encore réalisé à quel point le mécanisme de recherche intégré de Facebook est puissant (et potentiellement invasif), alors c'est là votre principal problème. Nous ne saurions trop insister sur ce point, mais vous devez vraiment faire attention à ce que vous partagez sur les sites de médias sociaux comme Facebook - surtout maintenant qu'une fonction importante qui vous permet d'empêcher la recherche de votre compte a été définitivement fermée.
FBStalker est un script Python développé par Keith Lee, un analyste basé à Singapour pour Trustwave, une société qui protège les données et prévient les risques de sécurité pour leurs clients. Cela fonctionne en utilisant les informations facilement disponibles non seulement sur votre profil, mais aussi sur celles de vos amis. À partir de ces données, l'outil peut analyser les interactions entre les utilisateurs et déduire une liste de vos amis proches à partir des mentions J'aime, des commentaires, des balises et des enregistrements que vous publiez sur les pages d'autres personnes.
L'outil FBStalker a été développé pour aider les clients à tester leurs propres paramètres de sécurité.
Bien que la description de l'outil puisse sembler horrible, la société qui l'a développé l'utilise pour de bon. «[Nous] avons mené une campagne de phishing avec FBStalker en utilisant uniquement le courrier électronique», explique Jonathan Werrett, consultant en gestion pour Trustwave basé à Hong Kong, également co-chercheur et consultant pour le projet. «L'entreprise avec laquelle nous travaillions voulait savoir où sa sécurité était la plus faible. Grâce à FBStalker, nous avons pu identifier que la femme d'un employé (par le biais d'associations) avait «aimé» un studio de Pilates spécifique dans la région. Nous avons ensuite pu déterminer qu'elle possédait le studio de Pilates, ce qui nous a donné un excellent sujet pour commencer à parler avec elle par e-mail. L'objectif était de voir si elle ouvrirait un e-mail sur le sujet, qui pourrait alors être un document malveillant. »
Selon un reportage, Trustwave a envoyé un e-mail contenant une vidéo, que la femme a ouverte. La pièce jointe a déclenché un malware sur son ordinateur, qui contenait incidemment des mots de passe laissés par son ancien propriétaire, son mari (qui a embauché Trustwave). Le logiciel malveillant a réussi à infecter l'ordinateur et a donné à Trustwave un accès complet à ces mots de passe.
«Traditionnellement, les pirates ont utilisé des attaques par e-mail de« phishing »basées sur des sujets génériques pour tenter de susciter l'intérêt d'une victime», explique Werrett. «Ils utilisent ces sujets dans le but d'amener la victime à cliquer sur un lien ou à ouvrir une charge malveillante. Nous avons vu des attaques d'hameçonnage dans la nature utiliser des sujets sur les technologies, les sources d'actualités qui intéresseraient les gens d'une entreprise spécifique, ou des lignes d'objet comme "Détails de la paie de l'entreprise pour septembre". »
Werrett souligne également que la plupart des sites de médias sociaux fournissent des «renseignements open source» qui peuvent potentiellement être utilisés par des pirates pour créer des attaques de «pêche au harpon» très spécifiques, similaires à l'exemple de pilates précédent.
FBStalker a la capacité d'exposer toutes sortes d'informations open source pertinentes que vous pensiez auparavant insignifiantes.
Tout attaquant en ligne en mission peut utiliser Facebook comme une ressource pour prétendre en savoir beaucoup sur vous, vous encourageant ainsi à vous ouvrir au piratage. En tant que mesure préventive, FBStalker est en mesure d'utiliser les informations de votre chronologie pour savoir à quelle heure de la journée vous publiez habituellement sur Facebook et êtes le plus actif sur le site - cela est souvent lié au temps que vous passez à répondre aux e-mails ou aux messages instantanés, une partie de votre routine qui peut s'avérer utile pour que les escrocs vous ciblent via la correspondance en ligne.
FBStalker peut également découvrir le type d'appareil mobile que vous utilisez, en fonction des applications que vous avez utilisées sur le site social. En outre, ils peuvent également savoir où vous vous trouvez en fonction des données de géolocalisation que votre téléphone associe à certaines de vos activités dans la chronologie. Cela peut conduire les pirates à savoir à quelle fréquence vous vous trouvez à un certain endroit et à quelle heure environ. Les gens peuvent en apprendre davantage sur votre horaire de travail et reconstituer l'ensemble de votre quotidien. Ils peuvent s'installer dans l'un de vos lieux de rencontre habituels et créer ce que Werrett appelle un «point d'accès sans fil diabolique», conçu pour capturer les informations d'identification du compte ou d'autres données sensibles lorsque des victimes spécifiques s'y connectent.
Toutes ces informations, uniquement depuis votre smartphone et votre compte Facebook.
Même lorsque vous pensez que vos paramètres de confidentialité sont de premier ordre, tant que vous donnez à votre liste d'amis l'accès à votre contenu, vous êtes vulnérable.
Vous connaissez l'adage «Une chaîne n'est aussi forte que son maillon le plus faible»? Cela s'applique tout à fait à la sécurité de Facebook - même si vous avez complètement verrouillé votre profil Facebook, la seule chose que vous ne pouvez pas protéger est votre photo de profil Facebook. Les amis commentent souvent votre nouvelle photo de profil ou cliquent sur "J'aime". «Ce type d'activité peut être capturé et analysé par FBStalker et aide à« désosser »vos amis Facebook», explique Werrett. Une fois que FBStalker sait qui sont vos amis, il peut en savoir encore plus sur vous.
Trustwave a également développé un outil similaire appelé GeoStalker - qui est exactement ce à quoi il ressemble.
GeoStalker analyse le contenu publié sur Foursquare, Flickr, Instagram et Twitter - essentiellement tout site social pouvant contenir des informations de géolocalisation. L'outil localise ces publications et les trace sur une carte Google, permettant à l'un des testeurs de Trustwave d'évaluer l'activité en ligne dans des domaines spécifiques.
Une fois que GeoStalker a trouvé les comptes des personnes qui ont publié à partir d'un emplacement spécifique, l'outil met en corrélation ces données avec d'autres sites sociaux tels que Youtube, Google+, Linkedin, Facebook, Twitter, Instagram et Flickr pour trouver plus de comptes pouvant être connectés. les utilisateurs.
«Nous avons été engagés par un client du service public pour tester la sécurité physique d'un site industriel et voir si nous pourrions accéder à leurs réseaux de contrôle», raconte Werrett. «Avec Geostalker, Trustwave a identifié un compte de réseau social qui publiait beaucoup de photos sur place et qui s'est avéré être un membre du personnel. Trustwave a ensuite mené une attaque de phishing pour tenter d'amener la cible à ouvrir un e-mail qui nous aurait donné accès aux informations ou au réseau de l'entreprise. »
Bien que Trustwave ait principalement conçu l'outil pour aider l'utilisateur à rechercher les comptes de médias sociaux des personnes qui travaillent à un endroit particulier, il révèle un problème beaucoup plus important: ce n'est peut-être pas une bonne idée de marquer votre emplacement tout le temps sur vos publications Instagram. , après tout. Et sérieusement, tout le monde doit cesser de s'enregistrer dans son lieu de résidence et de l'appeler «mon berceau». Vous demandez à être volé, ou pire.
Tout ce que vous et vos amis publiez sur Facebook peut (et sera probablement) utilisé contre vous.
Sérieusement, s'il y avait une leçon à tirer de tout cela, c'est de se méfier de ce que vous et vos amis publiez sur Facebook (ainsi que sur d'autres sites de médias sociaux - et oui, nous le répétons). Le verrouillage de vos paramètres de confidentialité ne devrait pas être la seule étape à prendre pour garantir la sécurité de vos informations.
Trustwave vous recommande également de faire attention aux personnes que vous acceptez comme contacts sur ces sites et d'alerter vos amis les plus actifs en ligne qui laissent leur profil public du fait qu'ils mettent non seulement leur vie privée en danger, mais aussi la vôtre. Enfin, désactivez l'accès à la localisation dans les applications de médias sociaux que vous utilisez sur vos appareils mobiles.
Pour l'instant, seuls les utilisateurs disposant de machines Linux peuvent utiliser l'outil FBStalker.
Cependant, depuis sa sortie la semaine dernière, les membres de la communauté des développeurs ont contacté l'équipe et souhaitent essayer de porter les outils sur Windows. Jusque-là, vous êtes limité à un PC prenant en charge Linux et à un savoir-faire général en matière de codage (l'expérience Python vous aidera). Nous avons fait examiner le script par un programmeur et il a vu que si n'importe qui peut se rendre sur Github et télécharger le script, il sera invité à entrer un mot de passe utilisateur avant d'analyser un profil. Cela signifie que tout ce dont vous aurez besoin pour effectuer une analyse sur n'importe qui est une connexion Facebook.
Au moins pour l'instant; qui sait si Trustwave va le développer en un programme qui analyse tous les profils, que vous ayez un compte Facebook ou non. Ou, plus effrayant encore, maintenant que le code est disponible, n'importe qui peut créer un outil encore plus efficace en utilisant une technologie plus sophistiquée et plus confidentielle. Tout ce que fait FBStalker est d'automatiser les requêtes de recherche graphique en utilisant des informations déjà définies comme publiques pour commencer, mais compte tenu du peu de respect généralement laxiste des gens pour les notifications, les balises et les impressions fines, ce type de données est certainement un fourrage à la cybercriminalité. Conclusion: ce n'est pas parce que les bons gars ont d'abord développé cet outil (ou du moins l'ont annoncé) que les escrocs ne font pas exactement la même chose.