下方為肉搜社交檔案產出的CSV檔,上方則是較視覺化的HTML報告。

圖片來源: 

Trustwave

新加坡電信(Singtel)旗下的資安業者Trustwave在本周釋出了基於人臉辨識技術的情報蒐集工具Social Mapper,可用來肉搜社交網站上的個人檔案,該工具支援了LinkedIn、Facebook、Twitter、Google+、Instagram及微博等8個社交網路平台,只要輸入名字與照片,就能蒐集這些人在上述社交網站上的個人檔案。

Trustwave自詡為一家提供合乎道德之駭客服務的公司,已成功利用Social Mapper替客戶進行了許多滲透測試與多層次模擬攻擊(Red Teaming)。

Trustwave安全分析師Jacob Wilkin表示,Social Mapper主要的優點為個人檔案自動比對及報告產生能力,隨著資安產業持續因競爭激烈與人才短缺而頭痛,滲透測試人員必須採用最有效率的工作方式。

Social Mapper的執行可分為3階段,一是目標解析,由測試人員輸入人名與照片以建立目標名單,第二步則是在各大社交網站上先以名字搜尋這些目標,再從搜尋結果的個人檔案進行照片的比對,最後則是建立一個彙整目標對象社交網站連結的CSV檔案或是更視覺化的HTML報告。

當中的第二階段所耗的時間最久,假設目標名單上有1,000個對象,比對時間可能會超過15個小時。

儘管Social Mapper看起來像是個駭客工具,但它實際上是替資安測試人員所準備的,可用來協助客戶測試企業或員工對於網釣等攻擊的防禦能力,例如建立一個假的社交網站帳號,再向目標對象申請成為好友,繼之寄出惡意連結。根據統計,社交網站用戶點選連結或開啟文件的機率是電子郵件用戶的兩倍。

Social Mapper支援LinkedIn、Facebook、Twitter、Google+、Instagram、微博、VKontakte與Douban等8個社交平台,已開放外界自GitHub下載


Advertisement

更多 iThome相關內容