新加坡电信(Singtel)旗下的安全业者Trustwave在本周推出了基于人脸辨识技术的情报搜集工具Social Mapper,可用来搜索社交网站上的个人档案,该工具支持了LinkedIn、Facebook、Twitter、Google 、Instagram及微博等8个社交网络平台,只要输入名字与照片,就能搜集这些人在上述社交网站上的个人档案。
Trustwave自诩为一家提供合乎道德之黑客服务的公司,已成功利用Social Mapper替客户进行了许多渗透测试与多层次模拟攻击(Red Teaming)。
Trustwave安全分析师Jacob Wilkin表示,Social Mapper主要的优点为个人档案自动比对及报告产生能力,随着安全产业持续因竞争激烈与人才短缺而头痛,渗透测试人员必须采用最有效率的工作方式。
Social Mapper的执行可分为3阶段,一是目标解析,由测试人员输入人名与照片以建立目标名单,第二步则是在各大社交网站上先以名字搜索这些目标,再从搜索结果的个人档案进行照片的比对,最后则是建立一个汇整目标对象社交网站连结的CSV档案或是更视觉化的HTML报告。
当中的第二阶段所耗的时间最久,假设目标名单上有1,000个对象,比对时间可能会超过15个小时。
尽管Social Mapper看起来像是个骇客工具,但它实际上是替安全测试人员所准备的,可用来协助客户测试企业或员工对于网钓等攻击的防御能力,例如建立一个假的社交网站帐号,再向目标对象申请成为好友,继之寄出恶意连结。根据统计,社交网站用户点选连结或开启文件的概率是电子邮件用户的两倍。
Social Mapper支持LinkedIn、Facebook、Twitter、Google 、Instagram、微博、VKontakte与Douban等8个社交平台,已开放外界自GitHub下载。
Copyright © 2008-2022 秒下下载站
m.down10s.com .All Rights Reserved
