Pesquisadores de segurança lançaram uma ferramenta controversa nesta semana. Batizada de Social Mapper, ela é capaz de recolher em massa dados de perfis nas redes sociais utilizando reconhecimento facial – você só precisa da foto do alvo.
Pode soar como uma ideia terrível, mas os criadores dizem que ela irá ajudar os profissionais da área de segurança – já que eles terão as mesmas ferramentas que pessoas maliciosas.
A ferramenta tem código aberto e pode recolher informações de qualquer pessoa que estiver no LinkedIn, Facebook, Twitter, Instagram, Google+ e nos sites de microblog da China como Weibo e Douban, além do serviço russo VKontakte.
O Social Mapper foi criado por pesquisadores da TrustWave. A intenção era desenvolver uma ferramenta para testes de penetração, ou ataques simulados autorizados que são voltados para testar a segurança de um sistema.
As informações recolhidas não são particularmente invasivas – um amador poderia facilmente encontrar perfis de pessoas nas redes sociais, principalmente se tiverem o nome e uma foto de seu alvo, que são os itens necessários no Social Mapper – só que faz isso em uma escala enorme.
O Social Mapper escaneia perfis de indivíduos e realiza checagens por meio de reconhecimento facial nas fotos dos perfis, procurando pelo “alvo” a partir dos principais resultados que aparecerem na busca por um nome.
Não é um processo muito rápido – os pesquisadores estimam que pode levar mais de 15 horas para listar 1.000 pessoas – mas é um processo automático e eficiente para caçar os perfis das pessoas.
O programa então gera um relatório consolidando todos os dados, incluindo links para os perfis das redes sociais dos alvos. Em uma publicação no blog da empresa, os pesquisadores apontam que a ferramenta também pode criar listas para cada site de redes sociais, com o nome do alvo, bem como seu possível e-mail de trabalho.
O suposto propósito para essa ferramenta é simplificar as campanhas de phishing via redes sociais para hackers do bem – ou seja, campanhas de phishing para as quais eles foram contratados com o objetivo de testar a segurança de seus clientes.
Os pesquisadores citam alguns exemplos de uso para a ferramenta. Uma delas é enviar solicitações de amizade a partir de um perfil falso e então enviar links com malwares para pessoas dessas empresas.
Não é difícil imaginar que uma ferramenta como essa, disponível para o público, seja aproveitada por hackers maliciosos, que poderiam utilizá-la para coordenar ataques de phishing e ransomware mais eficientes.
Um porta-voz da Trustwave amenizou as críticas, dizendo que o Social Mapper é voltado para “hackers que testam invasões” que possuem responsabilidades “para encontrar vulnerabilidades utilizando ferramentas e tecnologias que hackers black hat já estão utilizando”.
Em outras palavras, ferramentas como essa já existem, mas a Trustwave está disponibilizando-a para todos, o que “ajuda até mesmo a área de segurança”, nas palavras do porta-voz. O lançamento de ferramentas como o Social Mapper, segundo ele “é bem comum na indústria de segurança e ajuda os hackers do bem”.
Fonte: Gizmodo Brasil