免费的面部识别工具可以追踪社交媒体网站上的人

这个被称为社交地图的面部识别工具可以在八个社交媒体平台上自动搜索目标，包括—；Facebook、Instagram、Twitter、LinkedIn、谷歌+、俄罗斯社交网站VKontakte，以及中国的微博和豆瓣—；根据他们的名字和照片。

该工具的创建者称，他们开发的社交地图智能收集工具主要是为了帮助笔试人员和红队成员进行社会工程攻击。

虽然对姓名和图片的搜索已经可以手动执行，但Social Mapper可以更快地自动执行此类扫描，同时“大规模搜索数百或数千个人”。

Trustwave在一篇详细介绍该工具的博客文章中解释说：“在线进行情报收集是一个耗时的过程，通常从试图在各种社交媒体网站上找到一个人的在线状态开始。”。

Social Mapper开源智能工具的工作原理

但是，“如果它可以被自动化，并在数百或数千人的规模上完成呢？”

Social Mapper通过三个阶段工作：

第一阶段—；该工具根据您提供的输入创建目标列表（包括名称和图片）。该列表可以通过CSV文件中的链接、文件夹中的图像或在LinkedIn上注册到公司的人员提供。

第二阶段—；一旦目标被处理，社交映射程序的第二阶段就会启动，自动开始在社交媒体网站上搜索目标。

研究人员建议通宵在良好的互联网连接下运行该工具，因为搜索1000人的列表可能需要超过15个小时，并占用大量带宽。

第三阶段—；搜索完成后，社交映射程序的第三阶段开始生成报告，例如带有指向目标列表的配置文件页面的链接的电子表格，或包含用于快速检查和验证结果的照片的更直观的HTML报告。

可能会出什么问题？

Trustwave表示，虽然这一最终结果非常适合促进高度复杂的网络钓鱼活动或情报收集，但它将帮助安全专业人士和道德黑客，为他们提供与坏人相同的工具，以测试他们客户的安全。

然而，由于该工具现在是开源的，任何人，包括坏演员或情报机构，都可以重用面部识别技术来构建自己的监控工具，对已经收集的数据进行搜索。

该公司进一步概述了Social Mapper的一些听起来很邪恶的用途，一旦你掌握了最终结果，这些用途“仅限于你的想象力”，并建议它可以用于：

• 为“朋友”目标创建虚假的社交媒体配置文件，然后向他们发送可下载恶意软件或凭据捕获登录网页的链接。
• 欺骗目标，让他们用代金券公开电子邮件和电话号码，并提供转向“网络钓鱼、假扮或欺骗”的服务
• 为每个社交媒体平台创建自定义的网络钓鱼活动，确保目标用户拥有一个帐户，并通过在电子邮件中包含他们的个人资料图片使这些活动更加真实。然后捕获密码以重复使用密码。
• 查看目标公司的照片，寻找员工出入卡徽章，熟悉建筑内部。

这听起来很可怕，但Trustwave的研究人员强调使用社交地图进行道德黑客攻击。

Trustwave已经在GitHub上提供了社交地图，并免费提供给每个人。

Trustwave的Jacob Wilkin将于本周在Black Hat USA大会上展示Social Mapper，IBM Research将在大会上详细介绍其名为DeepLocker的高度规避且具有高度针对性的人工智能恶意软件。