Nhóm nghiên cứu, bao gồm Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, và Matei Ripeanu, đã tạo ra một mạng lưới gồm 102 chương trình được thiết kế để bắt chước con người trên các mạng xã hội, và phát hành chúng trên Facebook với mục đích kết bạn với càng nhiều người sử dụng càng tốt và thu thập thông tin cá nhân.
"Tạo một tài khoản người dùng trên một OSN (online social network - mạng xã hội trực tuyến) bao gồm ba nhiệm vụ: cung cấp một địa chỉ email đang hoạt động, tạo một hồ sơ người dùng, và đôi khi giải quyết một CAPTCHA. Chúng tôi lập luận rằng một đối thủ hoàn toàn có thể tự động tạo tài khoản", các nhà nghiên cứu đã viết trong một bài báo nghiên cứu mà họ có kế hoạch trình bày tại Hội nghị ứng dụng bảo mật máy tính thường niên lần thứ 27 vào tháng tới.
Đây không phải là một hình thức cuộc tấn công mới: Các mối đe dọa phần mềm độc hại như Koobface từ lâu đã được sử dụng tự động để tạo ra các tài khoản dẫn đến các liên kết thư rác độc hại. Điều này đã thúc đẩy Facebook phát triển các cơ chế phát hiện chuyên ngành trong những năm qua.
Thật không may, các hệ thống phòng ngừa không đủ hiệu quả, theo các nhà nghiên cứu của UBC. Các chương trình xã hội mà họ tung ra trên Facebook nhắm mục tiêu vào 5.053 người sử dụng lựa chọn ngẫu nhiên mà họ đã gửi yêu cầu kết bạn.
Tỷ lệ những người dùng bị nhắm mục tiêu chấp nhận yêu cầu kết bạn là 20%, với các chương trình sử dụng hồ sơ của phụ nữ đã thành công tốt hơn. Tuy nhiên, tỷ lệ này đã tăng gấp ba lần khi chương trình bắt đầu nhắm mục tiêu vào bạn bè của những người đã chấp nhận yêu cầu.
Sau khi kết bạn với những người dùng mới, các chương trình tự động xóa bỏ hồ sơ, tin tức cập nhật và các bài đăng trên tường của họ. Các dữ liệu được thu thập bao gồm những thứ như giới tính, ngày sinh, nơi làm việc, tên các trường đã học, thành phố quê hương, thành phố hiện tại, địa chỉ mail, số điện thoại, tài khoản ID và tình trạng hôn nhân.
Các nhà nghiên cứu đã ngừng thử nghiệm của họ khi lưu lượng truy cập Internet được tạo ra đã trở nên quá nặng. Mạng lưới của họ đã gửi 3GB dữ liệu và nhận được khoảng 250GB trong vòng tám tuần.
Trong thời gian này, hệ thống bảo vệ thời gian thực của Facebook bị chặn 20 trong số 100 hồ sơ giả mạo. Tuy nhiên, khi được điều tra cụ thể hơn, người ta đã xác định rằng những hồ sơ đó đã thực sự bị đánh dấu là thư rác bởi người dùng khác.
"Kết quả thử nghiệm của chúng tôi cho thấy rằng (1) các trang mạng xã hội, chẳng hạn như Facebook, có thể bị thâm nhập với tỷ lệ thành công lên đến 80%, (2) tùy thuộc vào việc thiết lập bảo mật của người sử dụng, một sự xâm nhập thành công có thể dẫn đến các hành vi vi phạm quyền riêng tư ở ngay cả nơi mà dữ liệu của người sử dụng được tiếp xúc khi so sánh với một truy cập hoàn toàn công cộng, và (3) trong thực tế, hệ thống phòng thủ an ninh của các trang mạng xã hội, chẳng hạn như hệ thống miễn dịch của Facebook (Facebook Immune System), không có hiệu quả trong việc phát hiện hoặc ngăn chặn sự xâm nhập quy mô lớn khi nó xảy ra", các nhà nghiên cứu cho biết .
Để bảo vệ thông tin cá nhân và máy tính của mình, người dùng mạng xã hội nên tránh chấp nhận yêu cầu kết bạn từ các cá nhân không rõ và luôn luôn phải cảnh giác với các liên kết gửi đến, ngay cả khi những người gửi cho họ là bạn bè của họ.
Minh Phượng
