Trustwave的安全研究人员发布了一种新的开源工具,该工具使用面部识别技术在大量社交媒体网络中定位目标。面部识别工具被称为Social Mapper,可自动搜索八个社交媒体平台的目标,包括Facebook,Instagram,Twitter,LinkedIn,Google ,俄罗斯社交网站VKontakte,以及中国的微博和豆瓣 – 基于他们的名字和图片。该工具的创建者声称他们开发了Social Mapper情报收集工具,主要用于帮助笔测试者和红色teamers进行社会工程攻击。尽管可以手动执行名称和图片的搜索,但Social Mapper可以更快地自动执行此类扫描,并且可以同时“大规模地与数百或数千人进行”。“在线进行情报收集是一个非常耗时的过程,通常首先尝试在各种社交媒体网站上找到一个人的在线状态,”Trustwave在一篇详细介绍该工具的博客文章中解释道。Social Mapper开源智能工具的工作原理
但是,“如果它可以自动完成并且与数百或数千人一起大规模地完成会怎么样?”Social Mapper通过三个阶段运行:阶段1-该工具根据您提供的输入创建目标列表(由名称和图片组成)。该列表可以通过CSV文件中的链接,文件夹中的图像或LinkedIn上注册公司的人员提供。阶段2-一旦目标被处理,Social Mapper的第二阶段开始自动开始在线搜索社交媒体网站以获取目标。研究人员建议通过良好的互联网连接在一夜之间运行该工具,因为搜索可能需要超过15个小时才能获得1000个人的列表并使用大量带宽。第3阶段搜索之后,Social Mapper的第三阶段开始生成报告,例如包含指向目标列表的配置文件页面的链接的电子表格,或者包含用于快速检查和验证结果的照片的更直观的HTML报告。什么可能出错?
虽然最终结果非常适合促进高度复杂的网络钓鱼活动或情报收集,但Trustwave表示,它将帮助安全专业人员和道德黑客提供与坏人相同的工具来测试客户的安全性。但是,由于该工具现在可以在开源中使用,所以包括坏人或情报机构在内的任何人都可以重复使用面部识别技术来构建他们自己的监视工具来搜索已收集的大量数据。该公司进一步概述了社交映射器的一些邪恶的用法,一旦你掌握了最终结果,这些用途仅限于“只有你的想象力”,这表明它可以用于:
为“朋友”目标创建虚假的社交媒体配置文件,然后将其链接发送到可下载的恶意软件或获取登陆网页的凭据。
为每个社交媒体平台创建自定义网上诱骗活动,确保目标有一个帐户,并通过在电子邮件中包含他们的个人资料图片使这些更加真实。然后捕获密码以便重用密码。
查看目标的照片,查找员工访问卡徽章,并熟悉建筑内部。
嗯,这听起来很糟糕,但Trustwave研究人员强调使用Social Mapper进行道德黑客攻击。Trustwave已经在GitHub上提供了Social Mapper,,并且免费提供给所有人。Trustwave的Jacob Wilkin本周将在Black Hat USA会议上展示Social Mapper,IBM Research正在详细介绍其高度回避和高度针对性的AI驱动的恶意软件DeepLocker。