Nelson Novaes Neto, az UOLDiveo cég szakértője a Silver Bullet című Sao Paulo-i biztonsági konferencián prezentálta módszerét, amelynek kivitelezéséhez csupán social engineering, vagyis az emberek átejtésén alapuló trükköket kell alkalmazni. Novaes szerint megfelelő módszerrel szinte bárkinek az ismeretségi listájára fel lehet kerülni, ezáltal olyan adatokhoz is hozzá lehet férni, amelyeket az kizárólag ismerőseivel osztott meg - adta hírül az Ars Technica online technológiai hírportál.
Sokan visszajelölték a kamufiókot
A kutató kísérletében egy nem teljesen idegen személyt választott ki célpontul, akinek először megkereste egy főnökét a Facebookon, akinek teljes adatlapját leklónozta, egy másik e-mail címmel, ugyanazzal a névvel, azonos fotókkal létrehozott egy másik felhasználót a közösségi oldalon. A célpont főnökének kamuoldala nevében ismerősnek jelölte a vezető ismerőseinek ismerőseit, összesen 432 felhasználót. Ezek közül egy órán belül 24-en meg is erősítették az ismeretséget, noha a visszajelölők 96 százalékának az adott ember már eleve ismerőse volt - ám ez nem tűnt fel nekik.
Novaes emellett a célpont főnökének ismerőseit a LinkedIn szakmai kapcsolatépítő portálon is leellenőrizte, és a Facebookon a vezető közvetlen ismerőseit is bejelölte a kamufiókról: a 436 emberből egy órán belül 14-en visszaigazolták, hét órán belül pedig maga a célpont nő is az ismerősei között volt. Ő valószínűleg azért nem fogott gyanút, mert a kamufelhasználó, aki bejelölte, ismeretségi körében számos baráttal rendelkezett a közösségi szájt szerint.
Bűncselekmény az adatlapok klónozása
A brazil szakértő szerint egy kitartó támadó akár arra is képes lehet, hogy három kamufelhasználót igazoltasson vissza áldozatával a fentihez hasonló módon, ezt követően pedig a közösségi szájt "Megbízható barátok" nevű jelszóvisszaállító funkcióját használva átvegye az irányítást a célpont fiókja felett, hozzáférve annak levelezéséhez és más bizalmas információihoz is. Novaes szerint az átlagfelhasználók nem szokták alaposan leellenőrizni, hogy valóban ismerősük jelöli-e be őket a közösségi hálón, vagy valaki más, aki annak adja ki magát.
A Facebook szóvivője az Ars Technicának elmondta, hogy a rendszer ilyen jellegű felhasználása egyértelműen sérti az oldal felhasználási feltételeit, és arra kérik az oldalt használókat, hogy ha ilyen gyanús klónfiókokra bukkannak, jelezzék azt az ügyfélszolgálatnak. Valaki másnak az adatlapját leklónozni egyébként a személyes adattal való visszaélés vétség elkövetését jelenti, amely Magyarországon akár három éves szabadságvesztéssel is büntethető.