Инструмент, обманывающий пользователей Facebook, использует запрос на
добавление в друзья для того, чтобы получить личные данные, которые позже могут
быть использованы для интернет-мошенничества.
Группа экспертов по информационной безопасности, базирующихся в Египте,
создала инструмент, который облегчает проведение социального инжиниринга. Он
автоматизирует сбор закрытых данных в профилях пользователей Facebook, которые
могут быть доступны только друзьям пользователя в социальной сети.
Кросс-платформенный Java-инструмент назван "Facebook Pwn" и описывается
создателями как "дампер для профилей Facebook".
"(Инструмент) посылает запросы на добавление в друзья списку пользователей
Facebook, а затем подсчитывает положительные извещения о принятии в друзья. Как
только жертва принимает приглашение, все ее данные тут же сливаются - фотографии
и список друзей", - говорится в описании к программе.
В типичном сценарии, описываемом исследователями, хакер начинает сбор
информации из профилей пользователей путем создания нового пустого
профиля. Затем использует так называемый "friending plugin", с помощью которого
можно добавить к себе в друзья всех друзей своей жертвы. Это гарантирует то, что
у вас с жертвой будут общие друзья, отмечают исследователи. Далее клонирующий
плагин просит вас выбрать одного из друзей жертвы. Затем он клонирует только
картинку и имя выбранного друга для своей учетной записи.
После этого запрос на добавление в друзья отправляется жертве с учетной
записи ее поддельного "друга". Инструмент ждет положительного ответа от жертвы,
поясняется в описании к программе. Как только жертва принимает приглашение,
дампер тут же начинает собирать всю доступную информацию со страниц (информацию,
картинки, ссылки и т. д.), для последующего изучения в оффлайне.
"Возможно через несколько минут жертва удалит поддельный профиль из списка
друзей, после того как он/она поймет, что он ненастоящий, но, скорее всего будет
уже слишком поздно!", - объясняют исследователи.
В сообщении группы разработчиков инструмента, размещенном на сайте Google
code, говорится, что он был разработан лишь в "доказательство концепции" и
должен применяться на свой страх и риск, а не для "злоупотребления". И их
просьба, без сомнения, будет услышана всеми хакерами, имеющими не слишком благие
намерения.
