在社交媒体照片的背景中发现微妙的信息 - - 开源情报攻防技巧

  • 以及如何更好地保护自己免受意外泄露个人信息的侵害

事实上我们已经演示过这种方法。还记得去年的《好玩的间谍挑战》吗?起底一个法国的加密货币骗局,居然在其中挖出了疑似中国网络军队的成员。其中多处使用了这个方法。

对于黑客来说,社交媒体的兴起是历史上最重要的技术进步之一。Facebook、Twitter、Instagram 和其他社交媒体平台使访问个人和企业信息变得异常地容易。

大多数人都已经意识到在线发布个人信息的危险。

凤凰城大学2016年的一项研究显示,有84%的美国成年人拥有至少一个社交媒体帐户,“随着社交媒体的知名度不断提高,捕食社交媒体的犯罪分子的数量也在急剧增加。”

同一份调查还显示:“拥有个人社交媒体资料的美国成年人中,有近三分之二的人表示,他们知道自己的帐户已被黑客入侵,并且有86%的人同意,由于担心黑客会访问自己的私密信息,他们限制了自己发布的内容。 ”

但是,许多人忽略了在社交媒体上无意中泄漏的敏感个人信息的危险性。对于图像,尤其如此。

👉黑客可以使用多种方法来窃取您的个人信息,而且这些方法通常是复杂的攻击,任何人都很难防范。但是社交媒体上大量的个人信息吸引了一种新型的黑客。

这种新型的黑客与精通技术的网络犯罪分子看起来更像是情报分析师、或坚定的跟踪者。并且,甚至能全程合法

作者 Casey Botticello 曾在开源情报领域从事政治反对派安全研究和在线声誉管理顾问的工作。他使用公开照片(大部分来自社交媒体)发现的信息量令人震惊。《Subtle Information Hackers Find in the Background of Your Social Media Photos

以下是人们不小心在社交媒体上泄露个人信息的一些最常见形式:

各种汽车

人们喜欢在社交媒体上发布自己汽车的照片。特别是新车:

👉发布您的汽车照片的问题在于,您会立即暴露出大量个人信息 —— 如果照片中出现了车牌,那么就可以轻松追踪到车主。

大多数地方都允许您向本地 DMV 提交信息记录请求。其中包含有关车辆登记的信息,以及公开记录的任何机动车定罪和公开事故报告。

通常需要填写一张表格,并且您必须签名,以便证明提供 “允许使用” 的信息。

👉追踪者一般不会使用这种方法,以避免留下记录。他们会访问各种类型的体面的公共数据聚合数据库,同样可以使用车牌确定车主身份,比如这些:

  • Make/Model of Car
  • Vehicle Identification Number (VIN)
  • Owner’s Name
  • Owner’s Address

办公室员工

1、证件

实习生和新员工经常使用 #WorkLife,#Intern,#IDBadge 和 #FirstDayofWork 等标签发布自己的证件。

下面这个只是在社交媒体上被公开发布的十万个胸牌之一。您看到它有多危险了?

2、公司的敏感信息

为了展示自己的作品并营造一种真实感,人们喜欢张贴办公桌的照片,其中包含敏感信息,甚至密码!

3、个人信息

👉尽管下面这个帖子未显示任何密码,但确实显示了足够的信息,允许恶意者使用社交工程伎俩以冒充此人,或者有可能创建有针对性的网络钓鱼活动。

位置资料

大多数现代智能手机都存储图像文件中的exif数据。这些数据可以告诉您用于拍摄照片的设备是什么、相机的快门速度和镜头类型、拍摄照片的日期和时间,有时甚至可以以 GPS坐标的形式显示其位置。

在 Windows 中,您要做的就是右键单击图片文件,选择 “属性”,然后在属性窗口中单击 “详细信息” 。在GPS下查找纬度和经度坐标。

在macOS中,右键单击图像文件(或按住Control键并点击它),然后选择 “Get Info”。您将在 “更多信息” 部分下看到纬度和经度坐标。

这个问题可能在 Instagram 上最明显。人们在这里发布各种汽车、奢侈品的图片,并从本质上记录自己的消费。

👉所有这些都有地理标记,因此任何人都可以知道您的下落。

此数据由您的手机或平板电脑中的GPS设备收集,Instagram可以访问。这带来了许多风险:

1、纠缠者可以利用这些信息骚扰你的生活中每一个方面。

2、律师/债权人/前配偶/仇人/政府间谍 …… 都可以使用它来查找你。

3、强盗可以跟踪您的位置,准确知道您的房屋中有什么奢侈品,您的房屋在哪里,是否在家,甚至可以建立房屋及其安全系统的布局。

请注意,这种威胁并不仅限于知名度高的名人,可以参见这个例子:《Are thieves checking out your Christmas Tree social media posts?

钥匙

尽管基于照片复制出钥匙的方法已经被玩了几十年了,但新的应用程序和图像软件使此过程变得更加容易。

许多人忘记了在线发布的自己、朋友(尤其是在工作中)、和乘车时的照片,其背景中都有钥匙:

👉诸如 KeyMe 之类的应用程序使窃取某人的房门钥匙变得异常的简单。它是这样的:

使用适用于 iOS 和 Android 的免费应用程序,用户可以扫描钥匙并将其发送给 KeyMe,以创建一个新密钥并将其邮寄给自己。这项服务可以免得您去找锁匠了,并让您通过精美的设计自定义钥匙。

用户必须将钥匙放在白纸上,然后从两面拍摄。根据要求,KeyMe 使用扫描来创建精确的副本,然后将副本发送给您或发出请求的任何人。他们甚至会做汽车钥匙。

该公司的网站上写着:“避免重复去锁匠铺。”“传统的锁匠手动模拟您的钥匙。我们的专利技术对您的钥匙进行数字扫描,并创建与工厂规格一致的完美副本,保证可以正常工作。您的钥匙只会更好用。”

这项服务的操作很简单,因为有一种称为 “钥匙咬合” 的东西,这是指如何切割和布置钥匙上的 “齿” 以将单个销钉提升到正确的高度,然后打开锁。咬合告诉锁匠如何切割钥匙以制作精确的副本。

每个制造商都提供自己独具独色的咬合,以创建各种可能的组合,确保没有其他钥匙(或至少没有很多其他钥匙)可以打开同一把锁。

但是,即使所有交易都已通过信用卡和电子邮件确认进行了验证,但这并不能妨碍一个完全陌生的人创建自己的帐户,扫描根本不属于他们的钥匙并要求将副本寄到他自己的地址。

华盛顿邮报无意中泄漏了美国运输安全管理局TSA的万能钥匙

也许在张贴钥匙照片时没想到可能后果的最极端例子是华盛顿邮报的一篇文章:“行李的秘密生活:您在机场的行李去哪儿了?”在原始文章中,它们包括以下钥匙图片:

👉《华盛顿邮报》没有意识到的是,拥有钥匙的图像几乎与拥有钥匙本身一样好。数千年来,秘密复制钥匙的把戏都很流行。

人们几乎立刻能想到如何3D打印这个万能钥匙。即使《华盛顿邮报》后来将这张照片撤下来了,但已经为时已晚。

⚠️任何东西一旦上了互联网,就不可能轻易消失。现在,您甚至可以在eBay上找到由真实金属制成的TSA万能钥匙。

宠物

这几乎是最常见的漏洞 ……

ID Analytics 在2010年进行的一项调查发现,近2000万美国人在社交网络上透露了自己的宠物的名字。我只能想象自那时以来这个数字已经增加了非常非常多。

宠物的名字是一个特别常见的安全问题。然而粗略搜索大多数宠物主人的社交媒体帐户,就会发现他们宠物的名字:

记忆

人们喜欢在解释自己的个人历史的图像中分享简要自传。

例如,在下面的帖子中,一名医生正在展示她所有的旧ID胸卡,从医学院到她的第一个就职角色。

她很可能不会将这些照片视为威胁,因为所有这些都是旧的“过期” 的形式。

👉但问题是,它们会向潜在的黑客泄露大量信息:

  • 第一份工作(常见的安全问题)
  • 她的签名
  • 毕业日期
  • 面部识别使用的年龄增长生物特征
  • 详细的就业历史
  • 清晰的模板,用于为这些设施中的任何一个生成伪造的ID(许多公司数十年保持同样的设计)

您可以做点什么以更好地保护自己的隐私?

▶️1、减少您对社交媒体的整体使用

社交媒体使人们获得有关您的个人信息变得更加容易。我们在 “完美隐身” 系列中强调过这点 —— 如果你不希望被追踪到,那么最好避免社交媒体。

尽管在社交媒体上保持活跃有一定的积极意义,但是,减少整体使用量真的可以极大地改善您的隐私。

👉尤其是寡头社交媒体平台,他们会用尽各种办法营造一个鼓励人们晒生活的氛围 —— 很多人,真的是很多,他们的社交媒体账户基本就是其一生的实况录像,为黑客提供了几乎所有的数据点。

▶️2、更改密码,重要帐户不要使用相同的密码

为了确保您的帐户和数据的安全性,最好定期更改您的帐户密码。

同样重要的是,确保不要在多个平台上使用相同的密码。

如果发生数据泄露,黑客通常可以从一个泄露的密码开始,然后通过识别您的相关个人资料来访问您的所有帐户(如果密码不是唯一的话)。

▶️3、创建虚假的分身账户

设置虚拟帐户是减少您的个人信息暴露的好方法。⚠️切勿将您的真实/主要电子邮件地址链接到您的社交媒体帐户。

▶️4、修改安全问题的答案

如上所述,可以通过社交媒体轻松找到安全检查问题的答案。阻止黑客的一种方法是改变您的安全问题的答案。

例如,当被问及您在哪条街上长大的时,请输入您最喜欢的球队的名字。或者,在答案中添加随机字符串。例如,“我家的街道名+”(“ 92er !.”)。请记住要保留随机字符的备份,以防万一您自己忘记了。

▶️5、随时记得,一旦将某些内容发布到网上,它就永远不会消失

将某些内容上传到互联网(包括社交媒体)后,您将不再有权控制接下来发生的事。

⚠️这意味着您应该考虑非常现实的可能性,即:您在线发布的所有内容最终都将永远存在于互联网上。

因此,任何一次发布,包括私密聊天,都需要您首先考虑后果。

👉不要错过我们的未完成系列:

⚪️

Subtle Information Hackers Find in the Background of Your Social Media Photos

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据