Skip to main content

Facebook 'Stalker' Tool verwendet Graph Search für mächtiges Data Mining

Als eine in Hongkong lebende hochrangige Persönlichkeit die Sicherheitsfirma Trustwave anstellte, um zu testen, ob ihre Experten ihre Passwörter bekommen konnten, wendeten sie sich an Facebook.

Während die Gefahren, zu viele Daten auf Facebook zu teilen, bekannt sind, ist es erstaunlich, wie wenig Daten Hackern einen Halt geben können. Der Mann gab Trustwaves Team die uneingeschränkte Erlaubnis, seine Daten zu schnappen, einen sogenannten "Red Team" -Test.

Jonathan Werrett, Managing Consultant für Trustwaves SpiderLabs

[Weitere Informationen: So entfernen Sie Malware aus Ihr Windows PC]

"Wir haben über Facebook herausgefunden, wer seine Frau war", sagt Jonathan Werrett, Managing Consultant für Trustwave's SpiderLabs in Hongkong. "Wir haben durch ihre Vorlieben - ihre öffentlichen Vorlieben - herausgefunden, dass sie ein Pilates-Studio betreibt. Wir könnten dann eine Phishing-E-Mail an sie senden, basierend auf der Tatsache, dass sie ein Pilates-Studio leitete, das angestellt wurde. "

Die Frau des Mannes öffnete eine E-Mail mit einer Videodemonstration des gefälschten Jobkandidaten. Die bösartige Attachments infizierten ihren Computer mit Malware, was den Analysten von Trustwave Zugang zu einem Spear-Phishing-Angriff verschaffte.

Der Computer, den sie benutzte, war von ihrem Ehemann heruntergekommen. Die Passwörter, die er schützen wollte, waren im Schlüsselbund des Apple-Computers, so dass die Hacking-Übung "viel einfacher war, als wir es sonst erwartet hatten", sagte Werrett.

Die Mining-Details von Facebook sind mit Graph Search noch einfacher geworden. die neue Suchmaschine der Website, die personalisierte Ergebnisse aus Abfragen in natürlicher Sprache zurückgibt. Die Graph Search lenkt die umfangreichen Benutzerdaten von Facebook auf granulare Weise: Wo Leute vorbeigekommen sind, was sie mögen und wenn sie dieselben Präferenzen mit ihren Freunden teilen.

Die Graphensuche brachte sofort Warnungen von Sicherheitsexperten, die sagten, dass seine mächtigen Datenaggregationsfähigkeiten Leute machen könnten unangenehm, auch wenn die veröffentlichten Daten öffentlich sind.

Für Penetrationstester sowie für Bad Guy Hacker ist Facebook für Spear-Phising-Attacken von unschätzbarem Wert. Aber Werrett und sein Kollege, der Sicherheitsanalytiker von SpiderLabs, Keith Lee in Singapur, wollten einen automatisierten Weg, um schnell Informationen mit Graph Search zu sammeln.

Lee schrieb "FBStalker", ein Python-Skript, das er und Werrett am Donnerstag im Hack in the Box debütierten Sicherheitskonferenz in Kuala Lumpur. In seiner aktuellen Form wird FBStalker im Chrome-Browser unter OS X ausgeführt, indem Abfragen in die Graphensuche von Facebook eingegeben und Daten abgerufen werden. Sie benutzten FBStalker für den Angriff gegen den Mann in Hongkong.

FBStalker, ein Python-Tool von Trustwave, automatisiert die Abfrage der mächtigen Facebook-Suchmaschine von Facebook und gibt eine Reihe von Daten über Personen zurück, selbst wenn ihr Profil gesperrt ist.

Gerade Wenn das Profil einer Person für Fremde gesperrt ist, können die offenen Profile ihrer Freunde überprüft werden, um beispielsweise anzugeben, mit wem die Person in der Nähe ist. FBStalker verwendet die Graphensuche, um Fotos zu finden, in denen zwei Personen markiert sind, Kommentare zu Profilen und mehr.

Ein Analyst könnte dies tun, indem er die Diagrammsuche manuell verwendet, aber Hunderte Seiten mit Kommentaren, Zeitlinien und Fotos durchgehen muss , Sagte Werrett.

"Es ist im Grunde nicht möglich, dass ein Mensch in die Tiefe des FBStalker-Skripts geht", sagte er.

In einer Folienpräsentation zeigten Werrett und Lee, wie FBStalker Daten über Joe Sullivan, den Sicherheitsbeamter des Unternehmens.

FBStalker zeigte Orte an, an denen Sullivan gewesen war, und folgerte, dass einige seiner Freunde auf Seiten basierten, die er gemocht und kommentiert hatte. Einige der von FBStalker gesammelten Informationen sind auf Sullivans Seite deutlich zu sehen, aber seine Freundesliste ist für Außenstehende nicht sichtbar.

Auch Werrett und Lee stellten auf der Konferenz "//github.com/milo2012/osintstalker" eine andere vor Python-Skript, das Lee schrieb, das für die Remote-Site-Erkennung als Teil der physischen Sicherheitstests verwendet werden kann.

Die Forscher von Trustwave haben auch GeoStalker geschrieben, ein Python-Skript, das Daten von Webdiensten mit bestimmten Standortkoordinaten erfasst.

GeoStalker nimmt eine Adresse oder eine Menge von Koordinaten und sucht nach Daten, die mit denselben Werten georeferenziert sind, wie Fotos von Instagram oder Flickr, Nachrichten auf Twitter, FourSquare-Daten und sogar von der Wigle-Datenbank indizierte drahtlose Netzwerke. Es zieht auch Benutzernamen für Social-Networking-Konten, die mit dem Standort verknüpft sind.

Wenn TrustWave einen Red-Team-Test durchführt "gibt es uns eine ganze Menge Zeug, das sehr nützlich ist", um einen Angriff zu starten, sagte Werrett.

"Niemand wird die Flut von Leuten, die Dinge auf Facebook veröffentlichen, die möglicherweise in der Hand eines anderen wertvoll sein könnten, zurückdrehen", sagte Werrett. "Wenn du mit einer Lektion weggehen willst, ist die Lektion, dass selbst wenn du dich selbst beschützst, was andere Leute mit deinen Informationen tun, deine Freundschaften, deine Kommentare und solche Dinge immer noch durchgesickert werden können."

"Vielleicht werden die Leute es sich zweimal überlegen, bevor sie auf betrunkene Fotos von jemandem kommentieren", sagte er.