Facebook Pwn собирает информацию о профилях пользователей
Инструмент, обманывающий пользователей Facebook, использует запрос на добавление в друзья для того, чтобы получить личные данные, которые позже могут быть использованы для интернет-мошенничества.
Группа экспертов по информационной безопасности, базирующихся в Египте, создала инструмент, который облегчает проведение социального инжиниринга. Он автоматизирует сбор закрытых данных в профилях пользователей Facebook, которые могут быть доступны только друзьям пользователя в социальной сети.
Кросс-платформенный Java-инструмент назван “Facebook Pwn” и описывается создателями как “дампер для профилей Facebook“.
“(Инструмент) посылает запросы на добавление в друзья списку пользователей Facebook, а затем подсчитывает положительные извещения о принятии в друзья. Как только жертва принимает приглашение, все ее данные тут же сливаются – фотографии и список друзей”, – говорится в описании к программе.
В типичном сценарии, описываемом исследователями, хакер начинает сбор информации из профилей пользователей путем создания нового пустого профиля. Затем использует так называемый “friending plugin“, с помощью которого можно добавить к себе в друзья всех друзей своей жертвы. Это гарантирует то, что у вас с жертвой будут общие друзья, отмечают исследователи. Далее клонирующий плагин просит вас выбрать одного из друзей жертвы. Затем он клонирует только картинку и имя выбранного друга для своей учетной записи.
После этого запрос на добавление в друзья отправляется жертве с учетной записи ее поддельного “друга”. Инструмент ждет положительного ответа от жертвы, поясняется в описании к программе. Как только жертва принимает приглашение, дампер тут же начинает собирать всю доступную информацию со страниц (информацию, картинки, ссылки и т. д.), для последующего изучения в оффлайне.
“Возможно через несколько минут жертва удалит поддельный профиль из списка друзей, после того как он/она поймет, что он ненастоящий, но, скорее всего будет уже слишком поздно!”, – объясняют исследователи.
В сообщении группы разработчиков инструмента, размещенном на сайте Google code, говорится, что он был разработан лишь в “доказательство концепции” и должен применяться на свой страх и риск, а не для “злоупотребления”. И их просьба, без сомнения, будет услышана всеми хакерами, имеющими не слишком благие намерения.