Ανεπιθύμητη Συσχέτιση: Μια νέα προσέγγιση για την αυτοματοποιημένη συσχέτιση προσώπων σε ετερογενείς υπηρεσίες κοινωνικής δικτύωσης στον Παγκόσμιο Ιστό.

Abstract

Στην παρούσα μελέτη αναπτύχθηκε ένα εργαλείο επίθεσης στο περιβάλλον των κοινωνικών δικτύων. Η επίθεση αυτή είναι γνωστή στη διεθνή βιβλιογραφία και ώς "Δευτερογενής Συλλογή Δεδομένων". Δείξαμε πως είναι πολύ εύκολο για έναν κακόβουλο αντίπαλο να στοχοποιήσει συγκεκριμένα πρόσωπα και αξιοποιώντας πολλαπλές δημόσιες πηγές πληροφορίας στο διαδίκτυο να συσχετίσει με αυτοματοποιημένο τρόπο τις ταυτότητες τους σε ετερογενείς υπηρεσίες κοινωνικής δικτύωσης. Ο επιτιθέμενος επιτυγχάνει έτσι να διευρύνει το σύνολο της προσωπικής πληροφορίας για αυτά τα πρόσωπα και να αποκαλύψει εν δυνάμει κρυφές πληροφορίες τους, ώστε να κατασκευάσει μια αποθήκη προσωπικών δεδομένων που θα μπορούσε να αξιοποιηθεί ως βοηθητικό όχημα προκειμένου να σχεδιαστούν αποτελεσματικές (στοχευμένες) επιθέσεις phishing, social engineering, spamming, για τη διασπορά κακόβουλου λογισμικού και τη δημιουργία botnets, ή ακόμα και για περεταίρω data mining από τους διαφημιστές και τις εταιρείες marketing ώστε να εξαχθεί κάποια γνώση που αποφέρει κέρδος.

In this study we developed a supportive tool that helps a malicious person to perform various attacks in the environment of social networks. This attack is known in the literature as "Secondary Data Collection". We show that it is feasible, even with limited resources, to collect information from different online services in an automated way and then to combine it to expand the knowledge of users’ identities in the physical world. This knowledge may then be exploited to perform efficient social phishing attacks or targeted spam, for spreading malicious code and create botnets, as well as for data mining by advertisers for the purpose of profit and decision making.