“社交僵尸”竊取個人隱私信息

“社交僵尸”竊取個人隱私信息

在ACSAC最近的會議上，研究者們展示了一種可以竊取個人信息的程序。通過模擬真實的Facebook用戶的“社交僵尸”程序，研究者們可以從Facebook上獲取大量的個人隱私信息。“社交僵尸”不僅被研究者使用，同時正逐漸地被互聯網犯罪集團發現和使用，并已經在網上出現程序的買賣，最便宜的“社交僵尸”程序只要29美元。Facebook表示這項研究是越界和不道德的。“社交僵尸”是犯罪分子廣泛使用的僵尸網絡向社交網絡進化的產物。

交朋友

在傳統的僵尸網絡中，一名高智商的犯罪分子遠程控制著一組被病毒感染的計算機組成的網絡，通常這名犯罪者會從受害者的機器中竊取數據或者利用這些機器發送垃圾郵件和執行攻擊。

讓“社交僵尸”不同的是它將自己化身為一名真正的Facebook用戶。僵尸程序會為自己設置一個看似真實的社交網絡用戶，并執行發送消息和回應請求這些基本的操作。來自溫哥華的英屬哥倫比亞大學的四名研究員在實驗中建立了102個“社交僵尸”以及一個僵尸的控制者。研究員讓這些僵尸工作了大約8個禮拜，在這期間，總共向8750名Facebook用戶發出交友請求，并成功地和其中3055名用戶建立了朋友關系。研究者發現，如果你在Facebook上的好友越多，就越容易被接受，這些“假”的用戶在建立了一定數量的朋友關系后，很容易被接受成為好友。為了防止被Facebook的惡意行為檢測算法發現這些僵尸發送的大量好友請求，這些程序每天只會發出25個申請好友請求。

欺騙

“社交僵尸”通過他們交上的朋友的檔案，可以再訪問這些朋友的朋友，并逐漸滲透到更龐大的朋友網絡中，根據研究員宣布的數據，他們一共“竊取”了46500個郵件地址和14500個家庭住址。

在ACSAC年會上發表的這篇論文中，研究者寫到：“當‘社交僵尸’感染了作為目標的社交網絡，他們就可以獲得大量的用戶私有信息，如郵件地址、電話號碼以及其他有經濟價值的個人數據。”

“對于攻擊者而言，這些數據可以用于在線身份刻畫、大規模垃圾郵件傳播和進行釣魚攻擊。”

Facebook的發言人則認為這個實驗的結果并不真實，因為攻擊者的IP地址都來自于可信的大學，如果IP地址來自真實的犯罪者，早就會引發Facebook安全系統的警報。同時Facebook其實已查禁了研究者的大多數偽賬號。

Facebook發言人說：“我們設計了很多系統來檢測虛假的賬號，并防止用戶信息的泄漏，我們一直在更新系統來提高檢測的效率，并解決新的攻擊。我們對學術界的研究成果也作為我們系統中的一環，我們對英屬哥倫比亞大學的研究方法很關注，并會向他們表達這種關注。此外，我們一如既往地鼓勵人們盡量只和他們在現實社會中認識的人建立聯系，并及時向我們報告他們在網站上看到的任何可疑的行為。”

道德

研究者們認為真實世界中類似的惡意攻擊行為的成功率可能達到80%，他們總結認為，現實社交網絡的安全防御措施例如Facebook的免疫系統不足以有效地阻止大規模滲透情況的發生。

“我們相信社交網絡中的大規模滲透只是未來大量網絡威脅中的一個，對它的防御是擁有上百萬在線用戶的社交網站抵御攻擊的第一步。”

Facebook安全部門的咨詢師咨詢師Sophos Graham Cluley認為這些攻擊很有趣，他說：“很顯然Facebook的用戶該學會如何小心地在Facebook上選擇自己的朋友，并小心地共享自己的信息。”

但他同時也質疑這樣的實驗研究在道德上該如何判斷，“Facebook的安全團隊不喜歡大學研究人員這種類型的實驗研究，在用戶們注冊時Facebook就在服務條款中告知：不允許使用虛假的身份來建立賬號，應該使用真實的名字。同時只有在他人允許的情況下才能收集他人的信息。”

（編譯：楊望）