太多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏
從線上交友網站個人檔案收集到的企業資訊數量,高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用,有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例,它會在未經使用者認可的情況下,擷取使用者在 Facebook 上的資訊,然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料,卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。
線上交友軟體透露過多的敏感資訊,也提供攻擊者素材
現在有越來越多的人使用線上交友尋找對象,但線上交友會對企業造成威脅嗎?使用者本身透露的資訊種類及資訊量,例如個人資料、工作場所、經常前往與居住的地點等,對於尋找對象的人而言是很有用的資訊,但同時攻擊者也會利用這些資訊,做為入侵組織的起點。
為了證實這項風險,趨勢科技研究了多個線上交友網站,初步包括 先請回答以下問題:
- 假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員),是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)?
- 針對線上交友網站上的特定帳戶,是否有可能追蹤到他們在其他社群網站的資料,例如 Facebook、LinkedIn 或企業網頁?
不幸的是,以上答案皆為「是」。
| Honeyprofile | 誘騙用個人檔案 |
| Profile matching
(physical attributes, job information, tec.) |
個人檔案匹配
(外表特徵、工作資訊等) |
| Location profiling | 地點分析 |
| Target’s real-word social media profile | 目標現實生活的社群媒體個人檔案 |
| Open Source Intelligence profiling | 公開來源情報分析 |
| Target’s only dating network profile | 目標的線上交友網站個人檔案 |
圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案
駭客也可在線上交友網站,找到特定個人檔案之外的相應身分
在幾乎所有的線上交友網站上,我們發現如果要尋找一個已知在該網站註冊的目標,是非常容易的事。這並沒有什麼好奇怪的,因為線上交友網站可讓使用者運用各種條件來過濾對象,例如年齡、地點、教育程度、職業、薪資,當然還有外表特徵,例如身高與髮色,除了 Grindr 之外,因為此網站要求提供的個人資訊較少。
地點是非常有用的資訊,因為利用 Android 模擬器,可將 GPS 位置設定在地球上的任何地方,將所在地點設定在目標企業的地址,然後將匹配對象的半徑範圍盡可能縮小。
相反的,我們可以透過典型的公開來源情報 (OSINT) 分析,找到特定個人檔案在線上交友網站之外的相應身分。同樣的,這一點也不讓人感到驚訝,許多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出,運用手機上的交友應用程式進行三角測量,就能找到持有人的實際所在位置。
在找到目標的位置並連結目標的真實身分後,攻擊者要做的只剩下利用這些管道。我們對此進行測試,在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息,而這些訊息都正常地發送出去,未被標記為惡意訊息。
只要利用一點社交工程,很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站,例如偽裝的交友應用程式或網站,如果受害者的密碼在多處重複使用,攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件,但大多數人是在手機上使用交友應用程式,因此入侵難度較高。一旦成功入侵目標,攻擊者可嘗試劫持更多電腦,最終入侵受害者的工作及其企業網路。
接受交友就會被鎖定攻擊?
這種攻擊理論上可行,但實際上真的有發生過嗎?是的,真的有。今年初發生在以色列軍隊的鎖定攻擊,就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事,但線上交友網站上究竟發生過多少類似事件?
我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate,選擇這些網站的理由,是根據顯示的個人資訊量、互動的方式,以及無需支付初始費用。
然後,我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域,而且對象必須也接受你或給你按「讚」才能進行匹配,這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況:我們晚上在家陪伴家人時,得給搜尋範圍內每個新出現的個人檔案按「讚」(是的,我們的配偶都能諒解)。
我們也為研究訂定了幾項規則,就是不輕易答應交往,但保持開放交友心態:
- 不率先連絡對方
- 僅回應特定訊息 (以確認對方是否為真人,或只是傳送惡意連結)
- 嘗試加快對話的速度;在一開始就提供對方良性社群網站的連結,讓攻擊者更容易在回覆中提供惡意連結
- 嘗試成為被鎖定的目標;不要鎖定任何人或以網路釣魚方式攻擊任何人
以下是我們收到的訊息範例:
圖 2 我們收到的搭訕內容
以下詳細說明我們的誘騙用個人檔案:
- 對照組為「一般」的男性及女性:個人檔案列出常見的興趣、未列出工作、外表「普通」(至少從我們的觀點而言普通;建立的群組包含分數為「五分」(滿分十分) 者的個人檔案)
- 另一個群組,則是在醫院及軍隊內部工作的「一般」IT 管理員/專業人士,個人檔案中有關於工作的詳細說明
研究目標是熟悉各個線上交友網站的特性。我們在設定個人檔案時,盡可能讓資料看起來很真實,但不會過度吸引正常的使用者,而是吸引根據個人檔案的職業來尋找對象的攻擊者。我們在數個地點建立了基準,看看這些地點是否出現任何主動式的攻擊。我們的誘騙用個人檔案地點與特定領域有潛在關聯,像是鄰近醫院的醫療管理人員、鄰近軍事基地的軍職人員等。
圖 3 兩件列出工作或職業類型的個人檔案範例
從線上交友網站個人檔案收集到的企業資訊數量,高得嚇人
擁有特定職業頭銜的個人檔案自然吸引到了更多的注意。我們收到了許多油腔滑調的搭訕對話,也有一些好人與我們聯繫,但我們並未遭到鎖定攻擊。
也可能是因為我們沒有給正確的帳戶按「讚」。或許我們的研究選擇的線上交友網站及地區,目前沒有進行中的攻擊活動,但這並不表示攻擊不會發生或沒有發生,我們知道這種攻擊在技術上絕對是可行的。
然而,能夠從線上交友網站個人檔案收集到的企業資訊數量,是高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用,有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例,它會在未經使用者認可的情況下,擷取使用者在 Facebook 上的資訊,然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料,卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。
已訂定營運安全政策的企業會限制員工能在社群媒體 (例如 Facebook、LinkedIn 及 Twitter) 上透露的資訊,這些企業應將此類限制延伸到線上交友網站或應用程式。而且,身為使用者,如果你發覺疑似遭到鎖定攻擊,應向業者回報並停止匹配個人檔案,這在大多數線上交友網站上都能輕鬆完成。
圖 4 Tinder 的取消配對功能
使用電子郵件及其他社群媒體帳戶時,也應同樣謹慎,因為這些工具很容易存取,不受企業控制,而且是網路犯罪者的下手目標。就像使用電子郵件、即時通訊軟體及網站一樣,在你點擊連結之前,請務必三思。交友應用程式及網站也是一樣,無論這些應用程式網站看起來多麼無害,都不要提供超出必要範圍的資訊。你也可以使用提供反惡意軟體及網站封鎖功能的分層安全解決方案,例如 Trend Micro 行動安全防護。
另外,如果你還不知道週末出門怎麼跟對象開啟話題,不妨參考我們收到的這則最佳搭訕用語。
