沒事搖一搖！小心約炮軟體暴露你的工作信息

在社交軟體興盛的今天，人們越來越多地採用在線聯繫的方式來快速尋找「另一半」，但是在滿足個人慾望的同時，這些約炮軟體還能暴露你工作和公司的相關信息。

目前趨勢科技在跟蹤這些應用時，發現它們不僅能暴露你個人的隱私信息還能對你工作和公司的相關信息進行挖掘和跟蹤。想想都細思極恐，萬一哪天有不懷好意的黑客，在掌握了你的工作信息以及你在公司中的具體職位，那大可以以此為證據來要挾你，如果不滿足對方的要求，那你在公司中的名譽可就撲街了。

本文中，趨勢科技對以下約炮軟體進行了跟蹤：

Tinder，Plenty of Fish，Jdate，OKCupid，Grindr，Coffee meet Bagel和LoveStruck。研究人員研究的第一階段就是要回答以下這2個主要問題：

1.攻擊者是否對一個已知的攻擊目標（例如，公司執行官，IT部門主管，政府官員）的約炮帳戶進行過有針對性的跟蹤呢？（假如目標有約炮賬戶）

2.攻擊者是否根據約炮賬戶的信息，跟蹤他們到其他社交資料，例如 Facebook，LinkedIn或公司網頁？

根據趨勢科技做的統計調查，這兩個問題的答案都是肯定的。

上圖是黑客跟蹤潛在目標的約炮賬戶與現實世界及社交媒體之間關係的方法

通過位置的篩選定位用戶

我們都知道，在幾乎所有的約炮應用中，都會對尋找對象進行設置，以方便用戶進行準確尋找目標，比如對對方的年齡、位置、教育背景、職業、工資，甚至是身高和頭髮的顏色進行篩選。 但Grindr是一個例外，因為它需要很少的個人信息。

而在篩選項中，一般人都會傾向於先選擇離自己近一點的，因為方便見面才是炮友的最終目的。所以，攻擊者就會根據你的篩選位置，判斷出你自己所處的大概位置，而通常來說，這個位置很可能就是你公司或常住的地址。

在對你的位置進行定位後，攻擊者就可能通過公開資源情報計劃（OSINT），分析出潛在目標的相應身份和對應的個人信息。你可能會奇怪，僅僅通過位置信息就能搜索出一個人的具體情況來嗎？答案很簡單，因為許多人都喜歡在網上或社交賬號里分享比較敏感的信息（攻擊者的金礦）。事實上，以前就有一份研究，發現攻擊者可以根據手機的約會應用程序實時監測出人們的確切位置。

攻擊者有能力定位目標並將其鏈接回真實身份，所有攻擊者需要做的是利用這些鏈接。趨勢科技的研究人員通過在測試帳戶之間發送消息並鏈接到已知的不良站點進行測試，發現這些消息可以很好地被傳送，且沒有被標記為惡意。

進行有針對性的攻擊

你可能會有疑問，這種理論層面上的威脅會在實踐中出現嗎？，還記得今年初對以色列軍隊的攻擊是怎樣發生的嗎？攻擊者利用以色列軍人所玩的約炮應用，進而得到他們的的社交網路賬號，然後通過分享的信息，了解軍隊的情況。

為了進一步獲取攻擊案例，趨勢科技的研究人員通過設置蜜罐或以申請假帳戶的形式進行捕獲。為此，專門在Tinder，Plenty of Fish，Jdate，OKCupid這四款應用上做了監測。

為了捕獲到準確的攻擊案例，研究人員制定了3個判斷是否是惡意攻擊的標準：

1.不要先聯繫對方；

2.僅響應特定消息，比如該消息是真實的用戶發送的打招呼信息還是一個具有惡意鏈接的消息；

3.嘗試讓攻擊者對自己感興趣，並用惡意鏈接進行回應；

以下是研究人員收到的消息類型的示例：

以下是研究人員對通過蜜罐捕獲的案例進行的樣本分析：

1.男性約炮的數量和女性的數量各佔一半，而在個人信息的分析中，研究人員發現了一個有趣的現象，職位列表都顯示的是「無」，而在對自己的外貌評價中都選擇的是「普通」；

2.所從事的職業選擇最多的是IT管理員或醫院工作人員。

為了對每個約炮用戶的怪癖有細緻的了解，研究人員還設置了一個具有誘惑性的選項，就是要求用戶填寫自己的專業背景，以方便在就近地區為用戶匹配一些和他們有一樣專業背景的炮友，比如這附近是否有和我一樣的醫療人員。

上圖列出了具有相似工作或職業背景的配置文件

填寫了特定工作崗位的用戶自然比其他人能得到更多地匹配機會，引起了更多的關注。

根據捕獲的案例，研究人員發現可以從約炮網路配置文件中收集到用戶的許多公司信息。而根據這些信息，研究人員可以進入到用戶相關的Facebook賬戶，而更有甚者，許多用戶的很多其它賬戶都是用同一個電子郵件地址來設置的。例如，Tinder可以悄悄檢索其用戶的的Facebook信息，並在用戶不知情的情況下將其顯示在Tinder配置文件中。

總結

所以，對於具有保密行業的企業來說，公司是禁止員工使用各種社交軟體的，除了工作分析外，更重要好的是出於安全考慮。而作為喜歡約炮的用戶來說，如果你想要不被攻擊者攻擊，建議你取消匹配配置文件，這在大多數的約炮網路上都很容易做到。

上圖為Tinder上的Un-match功能

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！