Facebook Graph Search är ett fantastiskt verktyg för phishing-attacker

Facebook skakade tekniskt världsstiftelsen lite med tillkännagivandet av Graph Search-kapacitet. Användare är angelägna om att få chansen att spela med den nya funktionen, och angripare ser fram emot det här kraftfulla nya vapnet, det är också verktyget.

I ett nötskal är Facebook Graph Search en sökmotor som låter dig hitta saker baserad på relationer och kontext, i grund och botten ritning från den gränslösa poolen av Likes, tags och incheckningar som publicerats av en miljard Facebook-medlemmar.

Mark Zuckerberg avtäckt graf Sök denna vecka på en Facebook-mediehändelse.

Från en sökning perspektiv, Graph Search verkar som ett mycket kraftfullt verktyg - något som gör sökningen mer personligt relevant, och ett koncept som borde ha oroat Google lite. Du kan söka baserat på personer, platser, vänner och intressen. Till exempel kan du söka efter "vänner som gillar The Beatles och bor i Chicago" eller "Italienska restauranger som mina vänner har besökt i närheten."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det är dock lite av ett dubbelkantigt svärd också. Andrew Storms, chef för säkerhetsverksamheten för nCircle, säger, "Den nya Facebook Graph Search är en phishers dröm som går i uppfyllelse. Det tar de mikroprojektionsmöjligheter som har varit tillgängliga för annonsörer på nätet i flera år och sätter dem i händerna på cyberkriminella. "

Tänk på det som Google hacking på steroider. Attackers lärde sig för länge sedan att Google är en praktiskt taget oändlig skattkista av värdefull informationskänslig data, och till synes oskyldiga skenor som kan användas för att hacka in i ett nätverk eller konto. Facebook Graph Search höjer baren - och inte på ett bra sätt - genom att leverera samma förmåga med ett mer personligt sammanhang.

Alex Horan, säkerhetsstrateg för CORE Security pekar på den inneboende intressekonflikten för ett verktyg som detta för att Grafik Sökningen är endast användbar om den ger relevanta och intressanta resultat. "Det betyder att Facebook vill att den ska ha så mycket information som möjligt för att kunna svara på varje fråga, så att människor får en positiv upplevelse. Detta strider direkt mot önskan som uttrycks av människor för att hålla sin information privat. "

Användare har en tendens att ignorera sekretesskontroll och överskridande.

Med hjälp av Facebook Graph Search kan en angripare begränsa specifika mål och anpassa e-post eller Facebook-meddelanden med tvingande detaljer om deras liv, deras vänner, de saker som intresserar dem och de platser de har besökt.

Richard Wang, chef på Sophos Labs, säger att Graph Search kan vara en uppseendeväckande ögonöppnare för många. Det här kommer troligtvis att leda till att fler användare upptäcker att de har delat mer än de hade förväntat sig och ger scammers möjlighet att rikta sig mot specifika grupper av människor. "

I ett Facebook-inlägg om grafsökningsmeddelandet berömde Robert Scoble integritetsmodellen bakom verktyg. Scoble förklarar, "Du kan bara se objekt som delas med allmänheten eller delas med dig specifikt på grund av dina vänarrangemang."

Det är sant, och Facebook förtjänar kredit för att bygga i sekretesskontroll. Tyvärr är många av de miljarder som är Facebook-användare inte medvetna om eller inte använder säkerhets- och integritetsreglerna korrekt, så allt som de postar på det sociala nätverket kommer lätt att upptäckas av cyberkriminella.

Horan klargör, "Från ett hackerperspektiv var dataen redan där och föremål för en attack, men den nya funktionen gör det lättare för angripare att samla in liknande mål för en mer anpassad attack."

"Om du trodde nivån på skräppost och phishing-bedrägerier på Facebook kan inte bli värre, jag har dåliga nyheter för dig. Vi ses inte nuthin "ännu" varnar stormar.