Khi thu thập được thông tin bằng Graph Search, các hacker sẽ xây dựng được những thông điệp lừa đảo có tính thuyết phục cao, thích hợp hơn với mục tiêu
Facebook Graph Search lại tăng cường thêm khả năng này và nó còn cho phép những kẻ tấn công vốn không có đích cụ thể giờ đây lại có thể chọn được những đích tiềm năng, dựa trên các tiêu chí tìm", Hawthorn nói. Một nửa số nhấp chuột vào các đường dẫn hoặc tập tin lừa đảo trong một chiến dịch lường đảo nhất định sẽ xảy ra trong khoảng 12 giờ sau khi email lừa đảo trước tiên được gửi đi, nhưng nhấp chuột không đồng nghĩa với một vụ lường đảo thành công.
"Facebook từ trước tới nay vẫn rất giỏi lôi kéo người dùng san sớt thêm thông báo, dù họ không trực tiếp yêu cầu người dùng" , Trevor Hawthorn, CTO của công ty bảo mật ThreatSim chia sẻ với diễn đàn bảo mật CSO Online.
Các kết quả trả về cho các truy hỏi lóng bởi Graph Search chỉ bị giới hạn bởi các thiết lập bảo mật trên bài đăng, hoặc thiết lập tổng thể của người dùng hoặc bạn bè của họ.
Khả năng kiếm mạnh mẽ này của nó sẽ hỗ trợ tốt cho người dùng, tuy nhiên nó cũng sẽ là một mỏ vàng đầy tiềm năng cho các hacker chuyên phát triển các chiến dịch lừa đảo và thêm nhiều cách tiến công hơn cho hacker.
Không may là nhiều người dùng Facebook vẫn để các thiết lập bảo mật ở dạng mặc định.
"Ví dụ, tôi có thể ngần "nhà hàng châu Á nơi mà những nhân viên làm việc cho Bộ ngoại giao Mỹ thường tiến thoái.
Trong báo cáo hồi đầu năm, công ty này tuyên bố có thể dự đoán sự thành công của một chiến dịch lừa đảo một cách dễ dàng
ThreatSim là hãng bảo mật tập kết vào việc phát hiện và tuyên truyền cách nhận thức những thủ đoạn lừa đảo trực tuyến. Tuy nhiên, hội tụ nhiều chiến dịch, tỷ lệ thành công tổng thể của chiến dịch lường đảo sẽ tăng lên.
"Facebook luôn là dụng cụ có ích cho những kẻ tiến công thu thập thông báo của đối tượng. Kết quả trả về khá cụ thể cho phép tôi lựa chọn từ danh sách đích".
Thậm chí khi mà những chi tiết về chính bạn đã bị khóa lại, các hình ảnh được tag và check-in hoặc bài được tag vẫn cung cấp nhiều thông báo hơn trước đây.
Graph Search chỉ không truy cập được các dữ liệu khi mà bạn bè của bạn hoặc chính bạn muốn như vậy, Hawthorn nói thêm. So sánh với các dữ liệu từ các dịch vụ mạng xã hội khác như LinkedIn, một kẻ tiến công sẽ có tỷ lệ thành công cao hơn khi nhắm vào một cá nhân hoặc một tổ chức trên Facebook.
Đây là lý do giải thích vì sao tính năng trên dưới tiền tiến của Facebook lại mang tới rối rắm cho người dùng, vì vậy người dùng và các tổ chức/nhóm cần phải lưu tâm tới việc bảo mật những gì họ đã đăng trên Facebook
"Trước khi có Facebook Graph Search, kẻ tiến công sẽ phải suy luận rất nhiều và sâu sắc hơn về những gì mà đích của hắn quan tâm, yêu thích hoặc muốn tuyển dụng. Như vậy, hồ sơ cá nhân chủ nghĩa của họ, bao gồm cả những bài đăng, được thiết lập để chia sẻ tới nhiều người, bao gồm cả những người mà họ không hề có ý định muốn chia sẻ.
Với Graph Search, kẻ tiến công sẽ dễ dàng tìm thấy những câu đáp cho những vấn đề này từ chính những đích của hắn", Hawthorn kết luận. Hoàng Kỷ Theo TechHive. Với những phản hồi chẳng mấy tích cực này, có lẽ Facebook sẽ phải tiếp chuyện nâng cấp Graph Search trước khi phổ biến nó rộng rãi.
Theo đó, ba email lường đảo sẽ thuyết phục được một mục tiêu nhấp vào một đường dẫn hoặc một tập tin đính kèm. Thậm chí Graph Search còn có thể lọc kết quả theo thời kì, tìm lại chi tiết bình luận hoặc bài viết đã bị lãng quên từ lâu. Graph Search ngày nay có thể tập kết vào một nhóm người dùng cụ thể, trong một khu vực nhất định, những người mà họ đang quan tâm, hoặc có can dự tới, một doanh nghiệp, tổ chức, chủ đề hoặc thị hiếu cụ thể.
No comments:
Post a Comment