Las nuevas funciones de búsqueda en Facebook crean el paraíso del phishing

Publicado el 9 octubre 2013 ¬ 16:59 pmh.mscComentarios desactivados en Las nuevas funciones de búsqueda en Facebook crean el paraíso del phishing

Facebook anuncia cambios en la forma en que su Graph Search encuentra información, incluyendo en sus búsquedas actualizaciones de estado, fotos, entradas y comentarios. La novedad, no obstante, puede entrañar una nueva fuente de información para cometer delitos o realizar campañas de phishing, con nuevos campos que atacar, sostienen los expertos.
La compañía acaba de revelar los cambios en su función Graph Search, la herramienta que permite a los usuarios buscar un contenido concreto en la red social. Antes, este innovador sistema limitaba sus búsquedas a la información de perfil o páginas del site al que pertenecía el comentario, pero ahora se incorpora información adicional, como actualizaciones de estado, fotos, entradas y comentarios, que también serán visibles. Aunque la promoción de esta nueva funcionalidad centra el foco en sus bondades -algo lógico-, también debería considerarse el riesgo que entraña.

Algunos expertos ya lo han criticado. Este nuevo caudal de datos personales constituye una potencial mina de oro para los delincuentes más experimentados a la hora de preparar campañas de phishing, ya que las búsquedas pueden ahora concentrarse en grupos de personas concretos, en un área determinada, en personas con un interés común o cierta relación con una empresa, o incluso que comparten la mismas afición. Incluso es posible filtrar los resultados, en función del tiempo, para filtrar los comentarios o mensajes y recuperar incluso los más antiguos u olvidados.

Los datos ofrecidos por la herramienta solo tendrán una limitación, la que haya establecido el usuario en cuanto a privacidad de sus mensajes, ajustes que él mismo o sus amigos y seguidores establezcan.

Sin embargo, demasiados usuarios utilizan la configuración predeterminada y, por ello, sus perfiles, incluidos sus puestos de trabajo, se comparten ampliamente, y no todos quieren aparecer en las búsquedas aleatorias.

Críticas

“Facebook tiene una larga tradición en arrastrar al usuario a compartir más información, incluso sin preguntar”, denuncia Trevor Hawthorn, CTO de ThreatSim, empresa especializada en la modalidad de ataque llamada spear phishing y en concienciación al respecto.

A principios de este año, la compañía dio a conocer las estadísticas de un informe de Verizon sobre brechas de datos empresariales, que señalaban que el éxito de una campaña de phishing no es difícil de calcular y que sólo se necesitan tres mensajes previos de correo para que un objetivo entre en un enlace o mensaje adjunto.

“Esta media garantiza que el promotor de una campaña de phishing conseguirá un 50 por ciento de éxito con un solo clic. Si realiza esta campaña dos veces, probablemente alcance el 80 por ciento de éxito y con 10 correos electrónicos tendrían garantizado el éxito”, señala el informe.

La mitad de los clics que consigue una campaña de phishing típica se producen en las 12 primeras horas, pero estos “pinchazos” no garantizan por sí solos el éxito de la misma. Sin embargo, afinando más la campaña y los mensajes, las probabilidades de conseguirlo son mayores.

Esta es la razón por la que ampliar los criterios de búsqueda en Facebook puede suponer un problema, y tanto los individuos como las empresas deben ser conscientes de ello y proteger lo que publican.

Estos cambios en Facebook Graph Search permitirán, a partir de ahora, construir mensajes de phishing de alta calidad, utilizando criterios de búsqueda concretos, que el usuario objetivo además no percibe.

“Por ejemplo, ahora se podrán buscar ´Restaurantes asiáticos visitados por personas que trabajan para el Gobierno´ y dispondremos de resultados muy concretos que permitirán seleccionar de forma muy precisa a algunos objetivos”, explica Hawthorn.

Los datos encontrados a través de Graph Search serán tan privados como tus amigos quieran, destaca Hawthorn. Incluso si tus datos están bien guardados, las entradas y datos de tus imágenes o posts ya ofrecen más información de la que ya había disponible antes. Si se compara con los datos de otros servicios como LinkedIn, un atacante tendrá ahora más posibilidades de centrarse en una persona u organización concreta a través de Facebook.

“Antes de añadir estas funciones, el atacante debía profundizar más y conocer mejor los intereses de una persona concreta para tener éxito. Con Graph Search resulta más fácil buscar y encontrar datos de un objetivo”, concluye el experto.

Esta es una información de Steve Ragan. CSO

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Phishing, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies