adamdj
VIP Members
-
24/08/2016
-
91
-
130 bài viết
Social Mapper - Nhận dạng khuôn mặt để tìm ra thông tin trên mạng xã hội
Trustwave vừa công bố công cụ Social Mapper cho phép nhận dạng khuôn mặt để tìm ra đối tượng trên nhiều trang mạng xã hội.
Được đặt tên là Social Mapper, công cụ nhận diện gương mặt sẽ rà soát đối tượng trên 8 nền tảng mạng xã hội lớn bao gồm Facebook, Instagram, Twitter, LinkedIn, Google+, mạng xã hội VKontaktecủa Nga, Weibo của Trung Quốc và Douban – tất cả đều dựa trên tên và hình ảnh của người dùng.
Người viết công cụ Social Mapper cho biết họ muốn trợ giúp cho các bên kiểm tra bảo mật mang tính xây dựng trong lĩnh vực tấn công mạng xã hội.
Mặc dù hiện nay có thể tìm tên và hình ảnh thủ công nhưng công cụ Social Mapper giúp người sử dụng quét tên và hình ảnh người dùng tự động, nhanh hơn và “trên phạm vi hàng loạt với hàng trăm hàng nghìn tài khoản”.
Trustwave giải thích trên một bài viết: “Thu thập thông tin trực tuyến là một quá trình tốn thời gian, bắt đầu từ việc muốn tìm một danh tính trên rất nhiều mạng xã hội.”
Cách hoạt động của Social Mapper
Social Mapper hoạt động qua ba giai đoạn:
Giai đoạn 1: Tạo danh sách đối tượng (bao gồm tên và hình ảnh) dựa trên thông tin nhập vào. Danh sách có thể gồm link trong file CSV, ảnh trong tệp hoặc qua LinkedIn.
Giai đoạn 2: Sau khi tiếp nhận thông tin đối tượng, Social Mapper tự động tìm kiếm các trang mạng xã hội. Một lần tìm kiếm danh sách 1000 người có thể mất 15 tiếng và cần dung lượng khá lớn.
Giai đoạn 3: Sau khi tìm kiếm xong, Social Mapper ở giai đoạn 3 bắt đầu tạo báo cáo theo dạng spreadsheet kèm link tới trang cá nhân của đối tượng, hoặc báo cáo theo dạng HTML đính kèm ảnh để người sử dụng dễ dàng kiểm tra và xác nhận kết quả.
Nhưng điều gì có thể xảy ra?
Công cụ Social Mapper là một công cụ mã nguồn mở, bất kì ai kể cả tin tặc hay các trung tâm tình báo đều có thể sử dụng tính năng nhận diện khuôn mặt làm công cụ phục vụ mục đích riêng, ví dụ:
Được đặt tên là Social Mapper, công cụ nhận diện gương mặt sẽ rà soát đối tượng trên 8 nền tảng mạng xã hội lớn bao gồm Facebook, Instagram, Twitter, LinkedIn, Google+, mạng xã hội VKontaktecủa Nga, Weibo của Trung Quốc và Douban – tất cả đều dựa trên tên và hình ảnh của người dùng.
Người viết công cụ Social Mapper cho biết họ muốn trợ giúp cho các bên kiểm tra bảo mật mang tính xây dựng trong lĩnh vực tấn công mạng xã hội.
Mặc dù hiện nay có thể tìm tên và hình ảnh thủ công nhưng công cụ Social Mapper giúp người sử dụng quét tên và hình ảnh người dùng tự động, nhanh hơn và “trên phạm vi hàng loạt với hàng trăm hàng nghìn tài khoản”.
Trustwave giải thích trên một bài viết: “Thu thập thông tin trực tuyến là một quá trình tốn thời gian, bắt đầu từ việc muốn tìm một danh tính trên rất nhiều mạng xã hội.”
Cách hoạt động của Social Mapper
Social Mapper hoạt động qua ba giai đoạn:
Giai đoạn 1: Tạo danh sách đối tượng (bao gồm tên và hình ảnh) dựa trên thông tin nhập vào. Danh sách có thể gồm link trong file CSV, ảnh trong tệp hoặc qua LinkedIn.
Giai đoạn 2: Sau khi tiếp nhận thông tin đối tượng, Social Mapper tự động tìm kiếm các trang mạng xã hội. Một lần tìm kiếm danh sách 1000 người có thể mất 15 tiếng và cần dung lượng khá lớn.
Giai đoạn 3: Sau khi tìm kiếm xong, Social Mapper ở giai đoạn 3 bắt đầu tạo báo cáo theo dạng spreadsheet kèm link tới trang cá nhân của đối tượng, hoặc báo cáo theo dạng HTML đính kèm ảnh để người sử dụng dễ dàng kiểm tra và xác nhận kết quả.
Nhưng điều gì có thể xảy ra?
Công cụ Social Mapper là một công cụ mã nguồn mở, bất kì ai kể cả tin tặc hay các trung tâm tình báo đều có thể sử dụng tính năng nhận diện khuôn mặt làm công cụ phục vụ mục đích riêng, ví dụ:
- Social Mapper có thể bị sử dụng để giả mạo hồ sơ mạng xã hội để kết bạn với đối tượng và gửi đường link độc hại hoặc các landing page cướp thông tin.
- Lừa đối tượng tiết lộ email và số điện thoại thông qua phiếu giảm giá để lừa đảo qua email, điện thoại, tin nhắn SMS.
- Tạo các chiến dịch email lừa đảo cho các nền tảng mạng xã hội, khiến đối tượng lập tài khoản để chiếm mật khẩu.
- Xem hình ảnh của đối tượng thông qua thẻ nhân viên và xem trộm cách sắp đặt trong công ty của đối tượng.
securitydaily