SEGURIDAD | Noticias | 08 OCT 2013

Facebook Graph Search puede convertirse en el paraíso del phishing

Facebook anuncia cambios en la forma en que su Graph Search encuentra información, incluyendo en sus búsquedas actualizaciones de estado, fotos, entradas y comentarios. La novedad, no obstante, puede entrañar una nueva fuente de información para cometer delitos o realizar campañas de phishing, con nuevos campos que atacar, sostienen los expertos.
Facebook Graph Search
Steve Ragan. CSO

La compañía acaba de revelar los cambios en su función Graph Search, la herramienta que permite a los usuarios buscar un contenido concreto en la red social. Antes, este innovador sistema limitaba sus búsquedas a la información de perfil o páginas del site al que pertenecía el comentario, pero ahora se incorpora información adicional, como actualizaciones de estado, fotos, entradas y comentarios, que también serán visibles. Aunque la promoción de esta nueva funcionalidad centra el foco en sus bondades -algo lógico-, también debería considerarse el riesgo que entraña.
Algunos expertos ya lo han criticado. Este nuevo caudal de datos personales constituye una potencial mina de oro para los delincuentes más experimentados a la hora de preparar campañas de phishing, ya que las búsquedas pueden ahora concentrarse en grupos de personas concretos, en un área determinada, en personas con un interés común o cierta relación con una empresa, o incluso que comparten la mismas afición. Incluso es posible filtrar los resultados, en función del tiempo, para filtrar los comentarios o mensajes y recuperar incluso los más antiguos u olvidados.
Los datos ofrecidos por la herramienta solo tendrán una limitación, la que haya establecido el usuario en cuanto a privacidad de sus mensajes, ajustes que él mismo o sus amigos y seguidores establezcan.
Sin embargo, demasiados usuarios utilizan la configuración predeterminada y, por ello, sus perfiles, incluidos sus puestos de trabajo, se comparten ampliamente, y no todos quieren aparecer en las búsquedas aleatorias.
Críticas
"Facebook tiene una larga tradición en arrastrar al usuario a compartir más información, incluso sin preguntar", asegura Trevor Hawthorn, CTO de ThreatSim, empresa especializada en la modalidad de ataque llamada spear phishing y en concienciar al respecto.
A principios de este año, la compañía dio a conocer las estadísticas de un informe de Verizon sobre brechas de datos empresariales, que señalaban que el éxito de una campaña de phishing no es difícil de calcular y que sólo se necesitan tres mensajes previos de correo para que un objetivo entre en un enlace o mensaje adjunto.
"Esta media garantiza que el promotor de una campaña de phishing conseguirá un 50 por ciento de éxito con un solo clic. Si realiza esta campaña dos veces, probablemente alcance el 80 por ciento de éxito y con 10 correos electrónicos tendrían garantizado el éxito”, señala el informe.
La mitad de los clics que consigue una campaña de phishing típica se producen en las 12 primeras horas, pero estos “pinchazos” no garantizan por sí solos el éxito de la misma. Sin embargo, afinando más la campaña y los mensajes, las probabilidades de conseguirlo son mayores.
Esta es la razón por la que ampliar los criterios de búsqueda en Facebook puede suponer un problema, y tanto los individuos como las empresas deben ser conscientes de ello y proteger lo que publican.
Estos cambios en Facebook Graph Search permitirán, a partir de ahora, construir mensajes de phishing de alta calidad, utilizando criterios de búsqueda concretos, que el usuario objetivo además no percibe.
"Por ejemplo, ahora se podrán buscar  ´Restaurantes asiáticos visitados por personas que trabajan para el Gobierno´ y dispondremos de resultados muy concretos que permitirán seleccionar de forma muy precisa a algunos objetivos", explica Hawthorn.
Los datos encontrados a través de Graph Search serán tan privados como tus amigos quieran, destaca Hawthorn. Incluso si tus datos están bien guardados, las entradas y datos de tus imágenes o posts ya ofrecen más información de la que ya había disponible antes. Si se compara con los datos de otros servicios como LinkedIn, un atacante tendrá ahora más posibilidades de centrarse en una persona u organización concreta a través de Facebook.
 "Antes de añadir estas funciones, el atacante debía profundizar más y conocer mejor los intereses de una persona concreta para tener éxito. Con Graph Search resulta más fácil buscar y encontrar datos de un objetivo", concluye el experto.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información