Hvem er den person på gaden? Giv mig en time, og så skal jeg fortælle dig det!

img_ghostery000

Ekstrabladet bragte d. 21. April en artikel om stalking på Tinder, og om ”hvor let” det var at finde informationer på baggrund af et billede og et navn. De var i stand til at grave information frem om 40 ud af 100 testpersoner. Ikke særligt imponerende egentlig. Vi satte os for at lave vores eget eksperiment, og det var alt for let.

Eksperimentet

På Tinder, der fik Ekstrabladets researchere både navn og billede. Noget der i langt de fleste tilfælde, bør være mere end rigeligt. Og som også burde give en succesrate som er højere end 40%. Det er mildest talt ikke særligt imponerende. Det kræver stort set ikke andet end logik, benarbejde og en internetforbindelse, at finde uhyggeligt meget information om en tilfældig person. Viden der kan bruges til en form for tech kriminalitet, der har vundet mere og mere frem de senere år: Identitetstyveri.

LÆS OGSÅ Sådan undgår du Tinder-Stalking (eksternt link) 

Ekstrabladets udgangspunkt var Facebook og Googles billedsøgning. Det er en hel del informationer at starte ud med. Vi havde lidt mindre. Testen ”gik ud over” en ansat i en tøjbutik på Frederiksberg. Det eneste vi vidste om hende var, at hun arbejde i en bestemt butik, og hvordan hun så ud. Intet andet. Ingen navne eller digitale billeder. Kun en arbejdsplads og et memoreret ansigt.

Første skridt – Find navnet

Det logiske sted at starte er Facebook. Ind og finde butikkens side. Ofte vil personer som har relation til en side eller et brand ”like” statusopdateringer, billeder og lignende. Tidligere der gav Facebook os muligheden for at se en liste over, hvem der likede en bestemt side. Det kan man ikke længere. Så det var bare at starte fra en ende af med at køre billederne igennem og se hvem der havde liket. Det kastede ikke umiddelbart noget af sig. Og eftersom at der ikke var nogle taggede personer på butikkens uploadede billeder, så var vi lige vidt.

Instagram profilen gav et fuldt navn.

Instagram profilen gav et fuldt navn.

Facebook gav os også en adresse til en hjemmeside. Den var – surprise, surprise – under opbygning. Så ingen ”Om os” side med billeder af de ansatte til hjælp. Nu hvor vi alligevel havde et navn på butikken, så kunne det jo være at hun ejede stedet – eller havde en eller anden kontakt til ejeren – så ind på CVR registret. Der dukkede et navn op. Det kunne være et hurtigt springbræt videre. Det var det ikke. Butikken var godt nok registreret i et navn, men her var altså tale en som ikke har behov for vores anbefalinger senere. Personen eksisterer simpelthen ikke på nettet. Imponerende.

Butikken havde også en Instagram profil. Ind på den og så ellers samme omgang som på Facebook. Denne gang dog med udgangspunkt i butikkens følgere. Her var der bid. To tredjedele igennem de 600+ følgere fandt vi profilen vi ledte efter. Det gav os det afgørende element i søgningen: Et fuldt navn.

Hvad kan man bruge det til?

En ubeskyttet Facebook konto giver mange oplysninger.

En ubeskyttet Facebook konto giver mange oplysninger.

Med et fuldt navn, så er der en hel del muligheder, hvis personen ikke har taget sine forholdsregler. I vores tilfælde, der kastede en enkelt fodfejl på Instagram en hel masse viden af sig. Vi fik adgang til adresse, telefonnummer, sekundær arbejdsplads, navne på familiemedlemmer, fysiske bevægemønstre via geolocations og enkelte meget personlige informationer om pigen i butikken.

Det er information, der ikke er specielt smart at have frit tilgængeligt på nettet. Det er mere end rigeligt til at lave et identitetstyveri, hvis man er ude i den slags. Eller bare en god gammeldags omgang fysisk stalking. Det er noget man ikke bør udsætte sig selv for. Aviserne fortæller os dagligt, at der er nok tosser derude i samfundet, som er villige til at misbruge den viden.

En helt simpel søgning på De Gule Sider.

Hvordan beskytter man sig?

Der er et par helt elementære grundregler, der kan afhjælpe en stor del af problemet. Vi har opridset dem i tidligere artikler, men vi smider dem lige ind igen for den evigt populære Prins Knud.

  • Undgå at opgive dit fulde navn, hvis det ikke er tvingende nødvendigt
  • Få fjernet dig selv fra Krak/De Gule Sider.
  • Slå geolocations fra på dine opslag på de forskellige platforme.
  • Benyt nogle af de værktøjer vi har skrevet om tidligere, til at gennemgå dine profiler og få defineret, hvad som skal være offentligt tilgængeligt.
  • Hav ikke et billede af dig selv på dine profiler, hvis du ikke vil findes.

LÆS OGSÅ Dine skjulte billeder kan sagtens blive fundet på Facebook

Konklusionen

Nu var det her ikke et specielt svært mål at indsamle data om, da der ca. var 0 sikkerhedsforanstaltninger taget. Og den korte tid vi investerede, den gav os mere end rigeligt med viden om personen til at skabe alle mulige former for ravage.

Ville vi gå skridtet videre, så havde vi allerede en hjemmeadresse. Den ville formentlig lede til et Wi-Fi netværk. Det ville være indgangen til personens computer. Herfra kunne man bevæge sig ned af to veje. Den første ville være et godt gammeldags angreb igennem routeren. Men det er tidskrævende. Den ”nemme” løsning ville være at udnytte alle de informationer vi allerede havde opsamlet fra de sociale medier, og lave lidt social engineering og så smide en keylogger eller lignende ind via en .pdf eller .doc fil i personens mail. Så har vi pludselig en hel masse mere vi kan tilgå.

Med geolocations, der kunne vi følge efter personen, og så ellers bare vente på at der blev logget på et åbent netværk, og så stjæle informationerne den vej, eller simpelthen fysisk nuppe et NEM-ID kort. De fleste slæber det alligevel rundt i deres pung. Kombinerer man de to ting, så har vi en ret grim cocktail (set igennem målets briller), og kan lave alle mulige former for skade. Ændre navn og adresse. Rippe konti og generelt gøre livet ret elendigt for personen. Borger.dk er et herligt sted. ”En indgang til det offentlige” – Tak for det.

Så pas nu på. Det er ikke kun naboen det sker for. Og det kan hurtigt blive en rigtig kedelig omgang.



Forfatter(e)

Relaterede indlæg

*

Top