“社交僵尸”竊取個人隱私信息

在ACSAC最近的會議上，研究者們展示了一種可以竊取個人信息的程序。通過模擬真實的Facebook用戶的“社交僵尸”程序，研究者們可以從Facebook上獲取大量的個人隱私信息?！吧缃唤┦辈粌H被研究者使用，同時正逐漸地被互聯(lián)網(wǎng)犯罪集團發(fā)現(xiàn)和使用，并已經(jīng)在網(wǎng)上出現(xiàn)程序的買賣，最便宜的“社交僵尸”程序只要29美元。Facebook表示這項研究是越界和不道德的。“社交僵尸”是犯罪分子廣泛使用的僵尸網(wǎng)絡(luò)向社交網(wǎng)絡(luò)進化的產(chǎn)物。

交朋友

在傳統(tǒng)的僵尸網(wǎng)絡(luò)中，一名高智商的犯罪分子遠程控制著一組被病毒感染的計算機組成的網(wǎng)絡(luò)，通常這名犯罪者會從受害者的機器中竊取數(shù)據(jù)或者利用這些機器發(fā)送垃圾郵件和執(zhí)行攻擊。

讓“社交僵尸”不同的是它將自己化身為一名真正的Facebook用戶。僵尸程序會為自己設(shè)置一個看似真實的社交網(wǎng)絡(luò)用戶，并執(zhí)行發(fā)送消息和回應(yīng)請求這些基本的操作。來自溫哥華的英屬哥倫比亞大學(xué)的四名研究員在實驗中建立了102個“社交僵尸”以及一個僵尸的控制者。研究員讓這些僵尸工作了大約8個禮拜，在這期間，總共向8750名Facebook用戶發(fā)出交友請求，并成功地和其中3055名用戶建立了朋友關(guān)系。研究者發(fā)現(xiàn)，如果你在Facebook上的好友越多，就越容易被接受，這些“假”的用戶在建立了一定數(shù)量的朋友關(guān)系后，很容易被接受成為好友。為了防止被Facebook的惡意行為檢測算法發(fā)現(xiàn)這些僵尸發(fā)送的大量好友請求，這些程序每天只會發(fā)出25個申請好友請求。

欺騙

“社交僵尸”通過他們交上的朋友的檔案，可以再訪問這些朋友的朋友，并逐漸滲透到更龐大的朋友網(wǎng)絡(luò)中，根據(jù)研究員宣布的數(shù)據(jù)，他們一共“竊取”了46500個郵件地址和14500個家庭住址。

在ACSAC年會上發(fā)表的這篇論文中，研究者寫到：“當(dāng)‘社交僵尸’感染了作為目標(biāo)的社交網(wǎng)絡(luò)，他們就可以獲得大量的用戶私有信息，如郵件地址、電話號碼以及其他有經(jīng)濟價值的個人數(shù)據(jù)?！?/p>

“對于攻擊者而言，這些數(shù)據(jù)可以用于在線身份刻畫、大規(guī)模垃圾郵件傳播和進行釣魚攻擊。”

Facebook的發(fā)言人則認為這個實驗的結(jié)果并不真實，因為攻擊者的IP地址都來自于可信的大學(xué)，如果IP地址來自真實的犯罪者，早就會引發(fā)Facebook安全系統(tǒng)的警報。同時Facebook其實已查禁了研究者的大多數(shù)偽賬號。

Facebook發(fā)言人說：“我們設(shè)計了很多系統(tǒng)來檢測虛假的賬號，并防止用戶信息的泄漏，我們一直在更新系統(tǒng)來提高檢測的效率，并解決新的攻擊。我們對學(xué)術(shù)界的研究成果也作為我們系統(tǒng)中的一環(huán)，我們對英屬哥倫比亞大學(xué)的研究方法很關(guān)注，并會向他們表達這種關(guān)注。此外，我們一如既往地鼓勵人們盡量只和他們在現(xiàn)實社會中認識的人建立聯(lián)系，并及時向我們報告他們在網(wǎng)站上看到的任何可疑的行為?！?/p>

道德

研究者們認為真實世界中類似的惡意攻擊行為的成功率可能達到80%，他們總結(jié)認為，現(xiàn)實社交網(wǎng)絡(luò)的安全防御措施例如Facebook的免疫系統(tǒng)不足以有效地阻止大規(guī)模滲透情況的發(fā)生。

“我們相信社交網(wǎng)絡(luò)中的大規(guī)模滲透只是未來大量網(wǎng)絡(luò)威脅中的一個，對它的防御是擁有上百萬在線用戶的社交網(wǎng)站抵御攻擊的第一步?！?/p>

Facebook安全部門的咨詢師咨詢師Sophos Graham Cluley認為這些攻擊很有趣，他說：“很顯然Facebook的用戶該學(xué)會如何小心地在Facebook上選擇自己的朋友，并小心地共享自己的信息?！?/p>

但他同時也質(zhì)疑這樣的實驗研究在道德上該如何判斷，“Facebook的安全團隊不喜歡大學(xué)研究人員這種類型的實驗研究，在用戶們注冊時Facebook就在服務(wù)條款中告知：不允許使用虛假的身份來建立賬號，應(yīng)該使用真實的名字。同時只有在他人允許的情況下才能收集他人的信息?！?/p>

（編譯：楊望）