“社交僵尸”竊取個(gè)人隱私信息

“社交僵尸”竊取個(gè)人隱私信息

在ACSAC最近的會(huì)議上，研究者們展示了一種可以竊取個(gè)人信息的程序。通過(guò)模擬真實(shí)的Facebook用戶的“社交僵尸”程序，研究者們可以從Facebook上獲取大量的個(gè)人隱私信息。“社交僵尸”不僅被研究者使用，同時(shí)正逐漸地被互聯(lián)網(wǎng)犯罪集團(tuán)發(fā)現(xiàn)和使用，并已經(jīng)在網(wǎng)上出現(xiàn)程序的買賣，最便宜的“社交僵尸”程序只要29美元。Facebook表示這項(xiàng)研究是越界和不道德的?！吧缃唤┦笔欠缸锓肿訌V泛使用的僵尸網(wǎng)絡(luò)向社交網(wǎng)絡(luò)進(jìn)化的產(chǎn)物。

交朋友

在傳統(tǒng)的僵尸網(wǎng)絡(luò)中，一名高智商的犯罪分子遠(yuǎn)程控制著一組被病毒感染的計(jì)算機(jī)組成的網(wǎng)絡(luò)，通常這名犯罪者會(huì)從受害者的機(jī)器中竊取數(shù)據(jù)或者利用這些機(jī)器發(fā)送垃圾郵件和執(zhí)行攻擊。

讓“社交僵尸”不同的是它將自己化身為一名真正的Facebook用戶。僵尸程序會(huì)為自己設(shè)置一個(gè)看似真實(shí)的社交網(wǎng)絡(luò)用戶，并執(zhí)行發(fā)送消息和回應(yīng)請(qǐng)求這些基本的操作。來(lái)自溫哥華的英屬哥倫比亞大學(xué)的四名研究員在實(shí)驗(yàn)中建立了102個(gè)“社交僵尸”以及一個(gè)僵尸的控制者。研究員讓這些僵尸工作了大約8個(gè)禮拜，在這期間，總共向8750名Facebook用戶發(fā)出交友請(qǐng)求，并成功地和其中3055名用戶建立了朋友關(guān)系。研究者發(fā)現(xiàn)，如果你在Facebook上的好友越多，就越容易被接受，這些“假”的用戶在建立了一定數(shù)量的朋友關(guān)系后，很容易被接受成為好友。為了防止被Facebook的惡意行為檢測(cè)算法發(fā)現(xiàn)這些僵尸發(fā)送的大量好友請(qǐng)求，這些程序每天只會(huì)發(fā)出25個(gè)申請(qǐng)好友請(qǐng)求。

欺騙

“社交僵尸”通過(guò)他們交上的朋友的檔案，可以再訪問(wèn)這些朋友的朋友，并逐漸滲透到更龐大的朋友網(wǎng)絡(luò)中，根據(jù)研究員宣布的數(shù)據(jù)，他們一共“竊取”了46500個(gè)郵件地址和14500個(gè)家庭住址。

在ACSAC年會(huì)上發(fā)表的這篇論文中，研究者寫到：“當(dāng)‘社交僵尸’感染了作為目標(biāo)的社交網(wǎng)絡(luò)，他們就可以獲得大量的用戶私有信息，如郵件地址、電話號(hào)碼以及其他有經(jīng)濟(jì)價(jià)值的個(gè)人數(shù)據(jù)?！?/p>

“對(duì)于攻擊者而言，這些數(shù)據(jù)可以用于在線身份刻畫、大規(guī)模垃圾郵件傳播和進(jìn)行釣魚攻擊。”

Facebook的發(fā)言人則認(rèn)為這個(gè)實(shí)驗(yàn)的結(jié)果并不真實(shí)，因?yàn)楣粽叩腎P地址都來(lái)自于可信的大學(xué)，如果IP地址來(lái)自真實(shí)的犯罪者，早就會(huì)引發(fā)Facebook安全系統(tǒng)的警報(bào)。同時(shí)Facebook其實(shí)已查禁了研究者的大多數(shù)偽賬號(hào)。

Facebook發(fā)言人說(shuō)：“我們?cè)O(shè)計(jì)了很多系統(tǒng)來(lái)檢測(cè)虛假的賬號(hào)，并防止用戶信息的泄漏，我們一直在更新系統(tǒng)來(lái)提高檢測(cè)的效率，并解決新的攻擊。我們對(duì)學(xué)術(shù)界的研究成果也作為我們系統(tǒng)中的一環(huán)，我們對(duì)英屬哥倫比亞大學(xué)的研究方法很關(guān)注，并會(huì)向他們表達(dá)這種關(guān)注。此外，我們一如既往地鼓勵(lì)人們盡量只和他們?cè)诂F(xiàn)實(shí)社會(huì)中認(rèn)識(shí)的人建立聯(lián)系，并及時(shí)向我們報(bào)告他們?cè)诰W(wǎng)站上看到的任何可疑的行為?！?/p>

道德

研究者們認(rèn)為真實(shí)世界中類似的惡意攻擊行為的成功率可能達(dá)到80%，他們總結(jié)認(rèn)為，現(xiàn)實(shí)社交網(wǎng)絡(luò)的安全防御措施例如Facebook的免疫系統(tǒng)不足以有效地阻止大規(guī)模滲透情況的發(fā)生。

“我們相信社交網(wǎng)絡(luò)中的大規(guī)模滲透只是未來(lái)大量網(wǎng)絡(luò)威脅中的一個(gè)，對(duì)它的防御是擁有上百萬(wàn)在線用戶的社交網(wǎng)站抵御攻擊的第一步。”

Facebook安全部門的咨詢師咨詢師Sophos Graham Cluley認(rèn)為這些攻擊很有趣，他說(shuō)：“很顯然Facebook的用戶該學(xué)會(huì)如何小心地在Facebook上選擇自己的朋友，并小心地共享自己的信息?！?/p>

但他同時(shí)也質(zhì)疑這樣的實(shí)驗(yàn)研究在道德上該如何判斷，“Facebook的安全團(tuán)隊(duì)不喜歡大學(xué)研究人員這種類型的實(shí)驗(yàn)研究，在用戶們注冊(cè)時(shí)Facebook就在服務(wù)條款中告知：不允許使用虛假的身份來(lái)建立賬號(hào)，應(yīng)該使用真實(shí)的名字。同時(shí)只有在他人允許的情況下才能收集他人的信息?！?/p>

（編譯：楊望）