你可能是黑手党战争和Farmville的冠军,但你知道社交媒体网站的安全风险吗?
Web 2.0技术带来的协作和共享也带来了一组特定的风险。在《被扇耳光:暴露社交网络危险》一书中,安全研究人员内森•哈米尔(Nathan Hamiel)和肖恩•莫耶(Shawn Moyer)解释了攻击是如何变得容易的,因为这些网站的本质——用户可以毫不费力地上传和交换图片、文本、音乐和其他类型的信息。
“社交网站的目的是在一个平台上在一个地方获得尽可能多的用户,而对攻击者来说,追踪他们会有很大的投资回报,”Moyer说,他将目前的环境描述为社会工程和糟糕编程的完美风暴。
在本指南中,我们列出的牺牲品到一个骗局或安全漏洞通过社交媒体网站和社交网络,以及如何保持自己和他人带来的诸多风险。
*如果我的公司允许员工使用社交媒体和访问网络站点,我们是否应该制定社交媒体安全政策?
*新的诈骗和威胁弹出所有的时间。员工如何能留在这些新的需求放在首位?
社交网络上的诈骗和黑客攻击有多普遍?
在2009年,Facebook的官员宣布,他们已超过3000万个用户。装载机,吊车,号称有6名万包月游客和55万名月访客。随着那种遥不可及,这并不奇怪,犯罪分子查看这些网站寻找受害者一个伟大的场地。其结果是,关于Twitter和Facebook的安全故事在过去12个月已经占据了新闻头条。在从2009年一个高调的故事,黑客成功劫持Twitter账户超过30个名人和组织,包括美国总统奥巴马和布兰妮斯皮尔斯(见:黑客劫持了奥巴马和布兰妮的推特账号)。被黑的账户被用来发送恶意信息,其中很多都是攻击性的。据Twitter称,这些账户是通过公司内部的支持工具被劫持的。
推特也有问题蠕虫以及垃圾邮件发送者谁开立账户,然后在热门话题,实际上链接到色情或其他恶意网站链接后。脸谱,太,定期追了下去新的骗局和威胁。
这两个网站都因缺乏安全性而受到批评,但最近几个月有所改善。例如,Facebook现在有一个自动的程序来检测Facebook用户的账户中可能暗示恶意软件或黑客企图的问题。该网站最近还宣布与安全软件供应商McAfee合作,旨在为Facebook用户提高安全性。看到的:脸谱,在Facebook上安全努力迈克菲团队。
社交媒体和社交网络带来的最基本风险是什么?
密码懒惰是社交网站的用户提供简单而普遍的错误。正如描述社会网络安全的七宗罪,密码懒惰是指在所有网站使用同一个密码 - 如果密码是通过黑客或意外泄漏发现一个网站,它提供了一个黑客进入所有其他网站。在最坏的情况下,这可能意味着Twitter的密码黑客给别人的关键,您的网上银行帐户。
普通的旧TMI - 太多的信息。这是一个伟大的想法,让你的邻居知道你在度假为首出来,使他们能够照看你的房子或公寓。它不是一个伟大的想法,张贴在公共互联网站点的度假计划。这也不是一个伟大的想法自由地揭示大量的个人信息和你的生日,你的出生城镇,你的家庭树 - 因为该信息可用于身份盗窃。
在你的在线互动中,你的个人品牌是另一个需要考虑的因素。
不要陷入“推特愤怒”。斯科特·海斯,Database-Brothers公司的总裁兼首席执行官,指出“在愤怒的时候发布任何内容都和发送愤怒的电子邮件一样危险,如果不是更危险的话。在点击‘提交’之前要三思,因为可能多年来全世界都在盯着你那愤怒、不成熟的咆哮。”
包括现在和未来的雇主、父母、孩子和同事。发帖子前要三思。
另一个需要考虑的风险是公司的品牌和声誉。你能确定你的员工没有在社交网站上故意或无意地泄露数据吗?你能确定他们没有贬低你的品牌吗?根据法律专家迈克尔•过于新贸易委员会的指导方针,12月1日生效,2009年,把责任强加于企业声明他们的员工可以在社交网站上,以及个人博客和其他网站,即使公司没有实际知识这些语句。看到过的博客浏览有关新规的更多资料。
然后还有一系列的风险,我们可以把它们归入诈骗的一般标题下。这些都是坏人的积极企图,让你做以下两件事之一:
-分享你不应该分享的信息(密码、敏感数据、公司机密)或
-点击一个你不应该点击的链接(因为它会导致一个网站感染了恶意软件)。
给我一些这种骗局的例子。
在脸谱网、推特网的骗局要避免和5更Facebook,微博诈骗,以避免我们列出了许多引诱骗子使用的类型的例子,包括:
关于迈克尔·杰克逊的死亡秘密的细节!
人们喜欢八卦和名人新闻始终是一个打击。这些骗局往往声称有对名人的秘密信息,包括实际上导致安装恶意软件到计算机恶意网站或链接。
我被困在巴黎了!请寄钱。
所谓的419诈骗,诈骗分子闯入Facebook帐户帐户,然后消息受害者“朋友”要钱。
我的天啊!你看你这张照片?
Facebook和Twitter都曾因涉及一个问题,激起用户的兴趣,然后将它们引导到一个假的登录画面几个钓鱼诈骗的困扰。
测试你的智商
Facebook的成员经常添加古怪的应用程序,允许他们采取测验并填写调查。一个最近引起成员无意中订阅短信服务,费用约为$ 30个月。
加入州立大学2013届的Facebook群吧
一家名为college Prowler的大学指南出版商最近因为2013届学生创建Facebook社区而受到批评,这些社区看起来是由他们所在的学院或大学组织的,但实际上并非如此。
微博对现金!
这种骗局有很多种形式。“在推特上赚钱!”和“推特盈利”是两种常见的诱惑,安全分析师说,他们最近看到。
你很可爱。味精我的MSN
uk的高级技术顾问Graham Cluley说,性骚扰是垃圾邮件发送者多年来通过电子邮件尝试的一种策略总部设在Sophos的安全公司。在这一策略的最新版本中,Twitter的“推文”以衣着暴露的女性为特征,并在图片中嵌入一条信息,而不是140个字符的推文本身。
猪流感保护您的家人
坏人总是会利用新闻头条,比如全世界对猪流感的关注,来诱捕毫无防备的用户。如今,用户更容易通过点击一个坏链接来寻找新闻,因为缩略URL的普遍使用(见:新的垃圾邮件绝招:短网址)。
麦克·史密斯评论了你的帖子!
阅读朋友的评论是Facebook的主要功能之一。但有些恶意应用程序的名称为“你的照片”和“帖子”,并以有人“评论了你的帖子”的通知开头。However, once the user clicks on that notification, they are lead to a harvesting site called "fucabook.com" which looks like a Facebook log-in page and asks users to enter their log-in information in order to "enjoy the full functionality" of the application. It then steals that log-in information and then spams friends.
安珀警报发出!
这个人是不是这么多的骗局,因为它是一个骗局。琥珀警报粘贴到变成是不真实的状态更新。
如果我的公司允许访问社交媒体网站,我们应该有一个适当的社交媒体安全策略?
专注于信息安全、监管合规和IT风险管理的波士顿研究公司IANS在2008年对企业进行了调查,发现大多数企业都没有针对社交媒体制定安全政策。但一年后,在2009年进行的同样的调查却出现了戏剧性的增长。政策可能涉及工作中社交媒体和社交网站的恰当使用,以及员工在网站上允许使用的行为和语言。
“我们看到大约有三分之一的观众目前已具备的东西,另一个大的比例正在考虑这类政策,”杰克·菲利普斯,IANS共同创始人和首席执行官。
具体来说,只有不到10%的受访企业表示,他们的社交媒体政策在2008年得到了全面实施和传播。这一比例在2009年跃升至34%,另有三分之一的受访者表示,他们已经制定或实施了使用社交媒体的政策。根据Phillips的说法,社交媒体现在是组织的前沿和中心,讨论不仅发生在安全团队中,也发生在市场、销售、人力资源甚至高管中。
菲利普斯认为这是一个机会,为安全人员提高他们的形象,并参与一个重要的问题从一开始。他给安全专家一些建议4个撰写技巧大社交媒体安全策略。的包括:
1.不要从零开始
媒体的环境是如此的动态,如果你为今天的热门技术制定政策,明天它就会变得模糊。相反,菲利普斯说,应该利用这个机会来吸引人们对现有政策的关注。
2.使用社交媒体政策来提高安全意识
Phillips说,这个问题是信息证券交易委员会领导人重新关注信息安全和风险管理的机会。
3.使用社交媒体来提高安全在组织内的正面形象
尽管对新媒体的最初安全反应往往是被屏蔽,菲利普斯说,大多数组织现在需要考虑的不仅是允许访问是必要的,而且从信息委员会的角度来看也是有用的。
4.为下一阶段做好准备
随着社交媒体平台的来来去去,一些社交媒体平台最终将成为企业不可或缺的一部分。菲利普斯说,虽然围绕社交媒体制定一整套新政策现在还没有意义,但在某种程度上,政策必须更加具体。
新的骗局总是层出不穷。员工如何才能在这些新的威胁面前保持领先?
社交媒体和社交网络带来的威胁在不断演变,因此,让用户了解最新的、最强大的“诱惑”可能是什么,这是一个可靠的安全意识项目的重要组成部分。在9个肮脏的伎俩:社会工程师最喜欢的接台词我们制定出一些看到社交网络的基本战术。而且,为了帮助用户识别他们可能是做错了,使用社交网络的失误使人们在概述社会网络安全的七宗罪。
与许多安全失误一样,错误和需要吸取的教训往往要回到个人身上。正如Peter Soderling在为什么一个Twitter黑客不是云安全警钟在美国,发生在这些网站上的许多黑客攻击都是由于密码薄弱造成的。看看这些小贴士如何写好密码为用户提供创建安全登录凭据的建议。
这个故事,“社交媒体风险:基础”最初是由CSO 。