Semua yang perlu Anda ketahui tentang alat Facebook FBStalker

facebook membantu merek berbicara fbstalker

Bukan rahasia lagi bahwa Facebook sibuk mengikis privasi yang sebelumnya Anda nikmati di dalam situs. Itulah kesepakatan yang kami buat untuk terus menjadi pengguna, tetapi sering kali momok dari fitur baru atau pembaruan kebijakan membuat kami menuju pengaturan akun kami, dengan susah payah mencoba memahami cara melindungi diri kami sendiri. 

Itu, atau Anda menyerah, menyerah, dan memberikan semuanya ke Facebook. 

Peluncuran terbaru yang semakin mempermudah penggalian data pribadi Anda adalah Pencarian Grafik. Meskipun menyenangkan dan sangat terbuka (baik atau buruk), kami belum sepenuhnya memahami potensi dan besarnya alat ini - sampai sekarang. Sesuatu yang disebut FBStalker telah dikembangkan, dan dapat mengetahui apa saja kelemahan Anda dan bagaimana memanfaatkannya, semua menggunakan Pencarian Grafik serta informasi yang diambil dari teman-teman Anda. 

Jika itu tidak membuat Anda sedikit takut, itu seharusnya. Inilah yang perlu Anda ketahui. 

Alat FBStalker terutama menggunakan Pencarian Grafik Facebook untuk mengumpulkan data, tetapi sebagian besar menggunakan informasi yang Anda bagikan di Timelines teman Anda.

Jika Anda belum menyadari seberapa kuat (dan berpotensi invasif) mekanisme pencarian built-in Facebook, maka itulah masalah utama Anda. Kami tidak bisa cukup menekankan hal ini, tetapi Anda benar-benar harus berhati-hati dengan hal-hal yang Anda bagikan di situs media sosial seperti Facebook - terutama sekarang karena fungsi penting yang memungkinkan Anda untuk menjaga akun Anda agar tidak dapat dicari telah ditutup secara permanen.

FBStalker adalah skrip Python yang dikembangkan oleh Keith Lee, seorang analis Trustwave yang berbasis di Singapura, sebuah perusahaan yang melindungi data dan mencegah risiko keamanan untuk klien mereka. Ia bekerja dengan menggunakan informasi yang tersedia tidak hanya di profil Anda, tetapi juga teman Anda. Dari data tersebut, alat tersebut dapat menganalisis interaksi antar pengguna dan menyimpulkan daftar teman dekat Anda dari suka, komentar, tag, dan check-in yang Anda posting di halaman orang lain.

Alat FBStalker dikembangkan untuk membantu klien menguji pengaturan keamanan mereka sendiri.

Meskipun deskripsi alat tersebut mungkin terdengar mengerikan, perusahaan yang mengembangkannya sebenarnya menggunakannya untuk kebaikan. “[Kami] melakukan kampanye phishing dengan FBStalker hanya dengan menggunakan email,” kata Jonathan Werrett, Konsultan Pelaksana untuk Trustwave yang berbasis di Hong Kong, juga rekan peneliti dan konsultan untuk proyek tersebut. “Perusahaan tempat kami bekerja ingin mengetahui di mana keamanan mereka paling lemah. Melalui FBStalker, kami dapat mengidentifikasi bahwa istri karyawan (melalui asosiasi) telah 'menyukai' studio pilates tertentu di daerah tersebut. Kami kemudian dapat menentukan bahwa dia memiliki studio pilates, yang memberi kami topik yang bagus untuk mulai berbicara dengannya melalui email. Tujuannya adalah untuk melihat apakah dia akan membuka email tentang topik tersebut, yang kemudian bisa menjadi dokumen berbahaya. ”

Menurut laporan berita, Trustwave mengirim email berisi video, yang dibuka oleh sang istri. Lampiran tersebut melepaskan malware ke komputernya, yang secara kebetulan berisi kata sandi yang ditinggalkan oleh pemilik sebelumnya, suaminya (yang menyewa Trustwave). Malware berhasil menginfeksi komputer dan memberi Trustwave akses penuh ke kata sandi ini.

“Secara tradisional, peretas telah menggunakan serangan email 'phishing' berdasarkan topik umum untuk mencoba dan menarik perhatian korban,” jelas Werrett. “Mereka menggunakan topik ini dengan tujuan membuat korban mengklik tautan atau membuka muatan berbahaya. Kami telah melihat serangan phishing di topik penggunaan liar tentang teknologi, sumber berita yang mungkin menarik bagi orang-orang di perusahaan tertentu, atau baris subjek seperti 'Detail Penggajian Perusahaan untuk September'. ”

Werrett juga menunjukkan bahwa sebagian besar situs media sosial menyediakan "kecerdasan sumber terbuka" yang berpotensi digunakan oleh peretas untuk membuat serangan "memancing tombak" yang sangat spesifik, mirip dengan contoh pilates sebelumnya.

FBStalker memiliki kemampuan untuk mengekspos semua jenis intelijen open source terkait yang sebelumnya Anda anggap tidak signifikan.

Penyerang online mana pun dalam sebuah misi dapat menggunakan Facebook sebagai sumber untuk berpura-pura mengetahui banyak tentang Anda, sehingga mendorong Anda untuk membuka diri terhadap peretasan. Sebagai tindakan pencegahan, FBStalker dapat menggunakan informasi di Timeline Anda untuk mengetahui jam berapa Anda biasanya memposting di Facebook dan paling aktif di situs - ini sering kali terkait dengan waktu yang Anda habiskan untuk menjawab email atau pesan instan, bagian dari rutinitas Anda yang mungkin berguna bagi penipu untuk menargetkan Anda melalui korespondensi online.

FBStalker juga dapat mengetahui jenis perangkat seluler yang Anda gunakan, berdasarkan aplikasi yang Anda gunakan di dalam situs sosial tersebut. Selain itu, mereka juga dapat mengetahui di mana Anda berada berdasarkan data geo-lokasi yang dilampirkan ponsel Anda ke beberapa aktivitas Timeline Anda. Ini berpotensi mengarahkan peretas untuk mengetahui seberapa sering Anda berada di suatu tempat dan secara kasar pada jam berapa. Orang-orang dapat mempelajari jadwal kerja Anda dan menyusunnya sepanjang hari-hari Anda. Mereka dapat mengatur toko di salah satu tempat nongkrong biasa Anda dan membuat apa yang disebut Werrett sebagai "hotspot nirkabel jahat", yang dirancang untuk menangkap kredensial akun atau data sensitif lainnya ketika korban tertentu terhubung dengannya.

Semua informasi itu, hanya dari ponsel cerdas dan akun Facebook Anda.

Meskipun menurut Anda pengaturan privasi Anda adalah yang terbaik, selama Anda memberikan akses daftar teman ke konten Anda, Anda rentan.

Anda tahu pepatah “Rantai hanya sekuat mata rantai terlemahnya”? Ini sangat berlaku untuk keamanan Facebook - bahkan jika Anda telah sepenuhnya mengunci profil Facebook Anda, satu hal yang tidak dapat Anda lindungi adalah foto profil Facebook Anda. Teman sering mengomentari foto profil baru Anda atau mengklik 'suka'. “Jenis aktivitas ini dapat ditangkap dan dianalisis oleh FBStalker dan membantu untuk 'merekayasa balik' teman Facebook Anda,” kata Werrett. Setelah FBStalker mengetahui siapa teman Anda, FBStalker dapat mengetahui lebih banyak tentang Anda.

Trustwave juga mengembangkan alat serupa yang disebut GeoStalker - persis seperti namanya.

GeoStalker menganalisis konten yang diposting di Foursquare, Flickr, Instagram, dan Twitter - pada dasarnya semua situs sosial yang mungkin berisi informasi geo-lokasi. Alat ini menempatkan postingan ini dan memplotnya di peta Google, memungkinkan salah satu penguji Trustwave mengukur aktivitas online di area tertentu.

Setelah GeoStalker menemukan akun orang-orang yang memposting dari lokasi tertentu, alat tersebut menghubungkan data ini dengan situs sosial lain seperti Youtube, Google+, Linkedin, Facebook, Twitter, Instagram, dan Flickr untuk menemukan lebih banyak akun yang dapat dihubungkan. pengguna.

"Kami dipekerjakan oleh klien utilitas untuk menguji keamanan fisik dari lokasi industri dan melihat apakah kami dapat mengakses jaringan kontrol mereka," kenang Werrett. “Dengan Geostalker, Trustwave mengidentifikasi akun media sosial yang memposting banyak foto saat berada di lokasi dan ternyata adalah seorang anggota staf. Trustwave kemudian melakukan serangan phishing untuk mencoba membuat target membuka email yang akan memberi kami akses ke informasi atau jaringan perusahaan. ”

Meskipun Trustwave terutama merancang alat untuk membantu pengguna mencari akun media sosial orang-orang yang bekerja di lokasi tertentu, ini mengungkapkan masalah yang jauh lebih besar: Mungkin bukan ide yang baik untuk menandai lokasi Anda sepanjang waktu di posting Instagram Anda , Lagipula. Dan serius, setiap orang harus berhenti memeriksa tempat tinggal mereka dan memberinya label "boks saya." Anda meminta untuk dirampok, atau lebih buruk. 

Apa pun yang Anda dan teman Anda posting di Facebook dapat (dan mungkin akan) digunakan untuk melawan Anda.

Serius, jika ada satu pelajaran yang bisa diambil dari semua ini, berhati-hatilah dengan apa yang Anda dan teman Anda posting di Facebook (serta situs media sosial lainnya - dan ya, kami akan mengatakannya lagi). Mengunci pengaturan privasi Anda seharusnya tidak menjadi satu-satunya langkah yang Anda ambil untuk memastikan keamanan informasi Anda.

Trustwave juga menganjurkan agar Anda berhati-hati terhadap siapa yang Anda terima sebagai kontak di situs ini dan agar Anda memberi tahu teman Anda yang lebih aktif secara online yang membiarkan profil mereka terbuka untuk umum bahwa mereka tidak hanya membahayakan privasi mereka, tetapi juga milik Anda. Terakhir, nonaktifkan akses lokasi dalam aplikasi media sosial yang Anda gunakan di perangkat seluler Anda.

Untuk saat ini, hanya pengguna dengan mesin Linux yang dapat menggunakan alat FBStalker.

Namun, sejak dirilis minggu lalu, anggota komunitas pengembang telah menghubungi tim dan tertarik untuk mencoba memindahkan alat ke Windows. Sampai saat itu, Anda terbatas pada PC yang mendukung Linux dan beberapa pengetahuan pengkodean umum (pengalaman Python akan membantu). Kami meminta seorang programmer melihat skripnya, dan dia melihat bahwa sementara siapa pun dapat membuka Github dan mengunduh skrip, mereka akan dimintai kata sandi pengguna sebelum menganalisis profil. Artinya, yang Anda perlukan untuk melakukan pemindaian pada siapa pun hanyalah log-in Facebook.

Setidaknya untuk sekarang; siapa tahu jika Trustwave akan mengembangkannya menjadi program yang memindai semua profil, baik Anda memiliki akun Facebook atau tidak. Atau, yang lebih menakutkan lagi, karena kodenya sudah tersedia, siapa pun dapat membuat alat yang lebih efisien menggunakan teknologi yang lebih canggih dan melanggar privasi. Semua yang dilakukan FBStalker adalah mengotomatiskan kueri Pencarian Grafik menggunakan informasi yang sudah disetel ke publik untuk memulai, tetapi mengingat orang biasanya kurang memperhatikan pemberitahuan, tag, dan cetakan halus, jenis data ini jelas merupakan umpan kejahatan dunia maya. Intinya: hanya karena orang baik mengembangkan alat ini terlebih dahulu (atau setidaknya mengumumkannya) tidak berarti para penipu di luar sana tidak melakukan hal yang persis sama.