O Facebook foi recentemente invadido por um exército de robôs criado por quatro pesquisadores para demonstrar a facilidade com que a rede social pode ser invadida e explorada maliciosamente por invasores. Com uma horda de 102 amigos adulterados no Facebook, os pesquisadores da Universidade de British Columbia mostraram que podiam tomar informações pessoais de usuários não disponíveis publicamente na rede social e que as defesas do site eram inadequadas para lidar com o ataque em grande escala.
Durante uma campanha de oito semanas no Facebook, os pesquisadores reuniram 250GB de informações de milhares de membros da rede social. Seus bots eram “amigos” de mais de três mil usuários e a rede alcançava mais de um milhão de perfis. Para lançar seu ataque no Facebook, o quarteto – formado por Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov e Matei Ripeanu – usou um novo tipo de botnet (rede de micros zumbis) chamado de socialbot. O que diferencia uma socialbot de outros tipos de bots é que ela é desenvolvida para se passar por um ser humano. Isso permite que ela alcance uma posição privilegiada em uma rede social. No caso do Facebook, essa posição seria de “amigo”.
“À medida que as socialbots se infiltram uma rede social direcionada, elas podem ter acesso a dados privados de usuários, como endereços de e-mail, telefones, e outras informações pessoais que possuem valor financeiro”, afirmam os pesquisadores em um estudo que planejam apresentar no próximo mês durante a Security Applications Conference em Orlando, nos EUA.
“Para um cibercriminoso, dados desse tipo são valiosos e podem ser usados para criação de perfis online e campanhas em larga escala de phishing e spam por e-mail”, continuam explicando os pesquisadores. “Por isso não foi nenhuma surpresa descobrir que diferentes tipos de socialbots são vendidos no mercado negro da Internet por preços em torno de 30 dólares cada.”
Uma das razões pelas quais os pesquisadores escolheram o Facebook é que acreditavam que seria mais difícil de invadir do que outras redes sociais. Mas não foi o caso. Por exemplo, o Sistema de Imunidade do Facebook (FIS), que é feito para anular atividades maliciosas no serviço, mostrou apenas 20 das personalidades falsas de socialbotnets. E o que é pior, elas só foram marcadas porque alguns usuários reclamaram delas como spam.
“Na verdade, não observamos nenhuma evidência de que o FIS tenha detectado o que realmente estava acontecendo além de depender do feedback dos usuários, o que parece um componente essencial, mas potencialmente perigoso, dessa ferramenta”, afirma o grupo de especialistas.
Em um comunicado para a imprensa, o Facebook contestou as descobertas dos pesquisadores porque seus ataques foram originados a partir de um endereço confiável da universidade. O site também afirmou que conseguiu desabilitar mais contas falsas e um tempo menor do que o relatado no estudo dos especialistas. “Temos sérias preocupações sobre a metodologia da pesquisa feita pela Universidade de British Columbia e as enviaremos para eles”, informou uma porta-voz da rede social.
Há alguns meses, o grupo hacker Anonymous afirmou, com base em e-mails roubados da empresa de segurança HBGary Federal, que os militares dos EUA teriam planos de se infiltrar em redes sociais, como o Facebook, usando perfis falsos com a intenção de reunir informações para prender dissidentes e ativistas que operam anonimamente na web.
Essas alegações ganharam crédito mais tarde quando o Comando Central dos EUA fechou um contrato de US$2,7 milhões com uma empresa chamada Ntrepid para um software que criasse personalidades online falsas para se infiltrar em sites de redes sociais onde terroristas estejam recrutando voluntários e solicitando ajuda financeira.