Trustwave 公司的安全研究员发布一款新型开源工具,利用面部识别技术定位横跨多个社交媒体网络上的目标。
这款定位工具名为 “Social Mapper”,它是一款面部识别工具,自动搜索横跨8个社交媒体平台上的目标。这些社交媒体包括 Facebook、Instagram、Twitter、LinkedIn、Google+、俄罗斯社交网站 VKontakte、微博和豆瓣。
工具的创建者声称开发 Social Mapper 情报收集工具的目的是帮助渗透人员和红队人员实施社工攻击。尽管可以手动搜索姓名和图片,但 Social Mapper 能将这些扫描自动化,一次能大规模搜索“数百或数千人”。
Trustwave 公司的研究人员表示,执行网络情报收集工作耗时较长,通常从找出某人在多个社交媒体网站的痕迹开始。
运作原理
Social Mapper 的目的就是将这类工作自动化。工具的运行步骤分三步:
1. 工具基于输入创建目标清单(包括姓名和图片)。可通过 CVS 文件中的链接、文件夹中的图像或注册到 LinkedIn 上某家公司上的人员提供该清单。
2. 处理目标时,在网上自动开始搜索目标所在的社交媒体网站。
研究人员建议保证网络连接良好,连夜运行工具,因为一次性搜索1000名人员好耗费15个小时。
3. 搜索之后生成报告,如包含目标清单资料页面连接的表单,或者更形象的包含照片的HTML 报告,供快速检查和验证结果。
潜在风险
虽然结果有助于复杂度高的钓鱼活动或情报收集活动,但 Trustwave 表示它将为安全专家和道德黑客提供帮助,以测试客户的安全性。
然而,由于这款工具已开源,因此包括恶意人员或情报机构的任何人员都能重用面部识别技术构建自己的监控工具以搜索已收集的大量数据。
Trustwave 表示,最终结果可用于:
为“好友”目标创建虚假的社交媒体资料,随后向他们发送可下载的恶意软件的链接或抓取凭证的登录网页。
通过优惠诱骗目标披露邮箱和电话号码,转向“网络钓鱼、语音钓鱼或短信钓鱼”。
为每个社交媒体平台创建自定义的钓鱼活动,确保目标拥有账户,并在邮件中包含资料图片以确保这些活动更加真实。然后抓取密码以重用。
查看目标照片,查找员工访问卡徽章,熟悉建筑内部情况。
虽然这么做听起来很糟糕,但 Trustwave 公司的研究人员强调称 Social Mapper 仅用于道德黑客目的。目前公司已在 GitHub 开源此工具,任何人均可免费使用。
本文由360代码卫士翻译自TheHackerNews
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
