逢此“信息就在指尖”
互联网时代不少人都拥有自己电子邮件、QQ号码、MSN等和亲朋好友联系通信工具更有许多人在社交网站WebSite上注册了自己账号这无疑会极大地方便我们工作和生活
但随着利欲熏心不法的徒盯上社交498)this.style.width=498;" border=0> 图1
社交网络
最大危险性在于损害个人身份信息及其它信息它可能会导致你相片被发到某个成人网站WebSite抵毁你形象也可能会导致你网上银行卡机密信息被人窃取还有可能在不知不觉的间将公司商业机密“大白于天下”!不要对此掉以轻心了
不要觉得这种事情不会发生在你或你公司身上社交网络是网络钓鱼者、垃圾邮件制造者、僵尸网络控制者、公司间谍谋取利润重要阵地如果对其使用不慎它甚至可轻易地葬送公司或个人命运问题
根源在于社交网络站点本身并不安全
般情况下这种站点并不对用户进行鉴别用户无法完全确认在线所谓友人身份而攻击者可以轻易地利用社交网络内“可信任”文化从中大块朵頤但是许多用户并未启用或部署这些站点所提供某些安全和私密选项例如
社交网络应用
开发工具如OpenSocial还有些第 3方工具可轻易地被攻击者利用传播恶意软件Software或泄露个人私密信息此外还存在着公司间谍真实风险攻击者可以轻易地利用网络雇员信息实施其它攻击而且有些流行Web攻击方式如跨站脚本攻击也可被用于对付社交网络成员千万不要
你禁止家庭住址、电话号码等私有信息而沾沾自喜这样并不能使你免受安全威胁在互联网上并没有什么真正私密用户只能延缓信息被泄露风险用户需要将整个互联网看作是个所有资源都永存平台针对社交网络
攻击才刚刚开始因此在发布个人信息时请 3思而后行或者在接受并信任新朋友时需要加倍谨慎随着攻击者日益关注社交网络其攻击将更加严重事实显示出社交网站WebSite已成滋生网络攻击温床孙子说
知彼知已百战不殆要对付社交网络攻击先要对付这种攻击下面笔者谈谈攻击者最阴险 7大社交网络“黑技”:、身份假冒及针对性个人信息攻击2、制造垃圾邮件和僵尸网络
3、被改造
社交网络应用4、个人信息和专业信息
交叉混杂5、跨站脚本攻击或跨站请求伪造
6、身份窃取
7、公司间谍
下面逐个谈谈:
、身份假冒及针对性个人信息攻击不要认为安全专家们没有受到社交网络威胁
近年来社交网络攻击日益广泛深入许多社交网站WebSite个人信息被发布到了其它网站WebSite上这介绍说明即使是专家也有可能无法幸免于难作恶者可以借个人身份信息威胁受害人如将其相片发到网络上如果社交网站WebSite
成员快速更新了自己所作所为或者对多个“跟随者”作出了注释那么这简直就是在将其它原因引入到社交网络安全中即物理安全也许你并没有跟别人说自己是谁、在什么地方但这并不能阻止别有用心家伙知道你信息例如
将个人太多信息(如出行信息或旅行计划等)散布到网络上可能会导致入室行窃等发生由此可见这会导致严重物理安全问题因此人人都不要轻易地将自己信息发布到社交网站WebSite上正如哈密尔和摩尔在黑帽大会上所演示
那样用户甚至不必拥有要攻击社交网络配置信息也不必拥有账号就可将他人照片发送到互联网上并获取在线信息构建令人深信不疑信息2、制造垃圾邮件和僵尸网络
垃圾信息制造已经成为
种巨大产业广告、单击性欺诈、僵尸网络需要有效地传播其消息、恶意软件Software(或 2者兼而有的)种机制攻击者早已经如蛆虫样进入了社交网络社团劫持用户账户并使用其地址簿传播垃圾邮件、蠕虫或其它恶意软件Software可以看出
越来越多恶意软件Software被作为附件放在了垃圾邮件中在国外著名社交网站WebSite中可以清楚地看到这点这种邮件特点是将不明真相人吸引到“特殊”网页中如引诱用户点击个精彩视频链接而其实际上这是个特洛伊木马下载链接它会偷偷地将恶意软件Software下载到用户计算机上并将此计算机变为僵尸网络成员3、被改造
社交网络应用用户们并没有过多地考虑将应用
安装到其浏览器中问题不过这些应用可能会获得访问用户系统能力而用户些极私密信息可能存储在其自身系统中其危险性显而易见不过总有些用户认为安装这些应用没有什么了不起这使得第 3方
应用成为攻击者种简易工具此外第 3方应用服务还使得基于代码攻击获得了途径但并不是说所有
社交网络虚拟工具都是恶意如开放性社交网站WebSiteopensocial向工具开发人员提供了在其应用中限制恶意JavaScript选择但不熟练开发者却不知道如何使用这些手段这只是些可选项很少有开发者使用这种工具最终结果是对安全不敏感开发人员可以构建应用而其传播速度也会如枯草上野火样迅猛4、个人信息和专业信息
交叉混杂即使用户将A社交网站WebSite
账户信息用于私用而将另外个社交网站WebSite账户用于专业性网络这也无法保证前者图片不会出现在后者账号中甚至“跑”到老板邮箱中不妨考虑下开放性社交网络不管是图片还是工作经历都可以成为到处复制、粘贴对象5、跨站脚本攻击或跨站请求伪造
跨站脚本攻击及跨站请求伪造漏洞是很显明
攻击工具有些社交网络蠕虫使用跨站脚本攻击漏洞帮助其传播不过多数社交网络拥有对付跨站脚本攻击机制而跨站请求伪造则尚未流行起来跨站脚本攻击和跨站请求伪造对社交网络站点并未造成巨大
风险在跨站脚本攻击中恶意代码被注入到有漏洞Web应用中查看这些网页用户就会被“黑”在跨站请求伪造中攻击者会欺骗用户浏览器发出要求登录请求要知道
在任何时候攻击者都可以强迫用户加载HTML代码其潜在威胁是攻击者通过XSS/CSRF利用浏览器漏洞、感染僵尸网络、并可操纵用户账户跨站请求伪造攻击可以在多个社交网络站点的间跳转
而在用户不断登录的时这种攻击能够从个社交网络传播到另外个网络从总体上看跨站请求伪造攻击是种被人们忽视黑客行为6、身份窃取
简言的
身份窃取指通过假装为另外个人身份而进行欺诈、窃取等并获取非法利益活动社交网络信息可透露些颇有价值内容如受害者姓名和出生日期身份窃贼们可以用这些信息猜测用户口令或模仿这些用户并最终窃取其身份社交网络
用户有时在不经意间将自己信息拱手让给他人他们可能将自己邮件地址、出生日期、电话号码等交给并不熟悉所谓“网友”我们对社交网络用户
条忠告是不要回答网站WebSite提交全部问题或者不要提供自己真实出生日期用户不必告诉网站WebSite自己真实教育背景、电话号码等还要想方设法让窃贼得到
其它敏感信息7、公司间谍
公司间谍活动在互联网平台日益发展壮大
背景下也有增无减雇员个人信息也有可能使公司招致公司间谍风险例如
为了实施钓鱼攻击攻击者所做是在社交网络站点上搜索公司雇员然后摆出副公司老板或领导姿态如以人力资源部领导身份出现并向雇员发送电子邮件如:“亲爱某某恭喜你加入本公司请单击下面链接访问本公司内联网并以你正常用户名和口令登录我们将根据你信息更新配置文件”尤其要注意是刚来公司上班新人有可能会遭到这样欺骗对付这种间谍行为
唯办法是告诉雇员要限制所公开信息并不要将雇主或老板名字透露出去这可以减少通过雇员攻击公司领导及公司机会总的
雇员需要知道你在社交网络上和不法的徒也许仅有步的遥要明白:在社交网站WebSite上总有些黑手在搜索你信息和我们互联不仅仅是朋友还有可能是豺狼所以请谨慎地透露你信息
最新评论