是什么让网络罪犯把你作为社交网络的目标?Sophos最近的研究发现了网络软目标的迹象。
本月初,CSO报道,Facebook,Twitter和LinkedIn网络犯罪攻击已经展开,根据最近由安全公司Sophos(见进行了调查:Facebook,微博,社交网络攻击的两倍,2009年)的恶意软件和垃圾邮件的.Reports在过去12个月在社交网络上上涨70%,用户的57%报告说,他们已经通过社交网站的垃圾邮件。另外36%的灵兽,他们已经通过社交网站发送的恶意软件(参见:社会中层风险:基础)。
也了解了一些最常见的方式获得用户在拍摄社交网络5 Facebook,微博诈骗,以避免和还要避免5个Facebook、Twitter的骗局
“社会保障”的调查是Sophos的2010年安全威胁报告,它看起来在当前和新兴的计算机安全趋势和发现,社交网络开辟了网络罪犯找到所谓的‘软’目标和拉动新的机会的一部分精密和有针对性的攻击。我们想知道:是什么让一个人看起来像一个简单的打了坏人?切特的Wisniewski,资深安全顾问与安全公司Sophos,为我们提供了一些线索。
您可以访问一个VIP或有价值的数据
据Wisniewski说,安全研究人员注意到针对社交网络的两种不同类型的攻击。第一个;更传统的喷雾式垃圾邮件,即许多用户在Facebook墙上、收件箱或Twitter上收到含有恶意链接的信息。但Wisniewski说,另一个更令人不安的趋势是,这些社交网络的工作性质使犯罪分子有可能在网络上跟踪潜在的受害者。坏人会观察你的行为,看你说了什么,然后用它来攻击你社交网络安全的七宗罪)。
威斯涅夫斯基说:“他们肯定会花时间密切关注另一个犯罪网络,以便完成某些事情。”
面临这种攻击风险的用户可能是那些能够访问某些东西的人,或者罪犯想要的人。你可能是公司CEO的行政助理,或者是能够访问公司所有员工文件的人力资源代表。你可能认为没有人会注意到,但这会让你成为一个理想的目标,Wisniewski说。
“如果你是无辜使用Facebook的某人的行政助理,而犯罪分子知道你与某个重要人物有关联,他们就会以你的个人资料为目标,试图在你的电脑上安装恶意软件,”他说。一旦他们在你的电脑上安装了恶意软件,黑客就可以通过击键记录技术获取敏感信息,这只是泄露敏感数据的一个例子。事实上,在最近被高度报道的基于中国的谷歌网络攻击中,犯罪分子在社交网络上搜索关键员工,并发现他们在Facebook上的朋友。然后他们侵入了这些朋友的账户,假装自己不是受害者,联系受害者。这些员工点击了来自所谓“朋友”的恶意链接,导致了恶意软件的出现。
威斯涅夫斯基说:“当你在袭击后进行法医调查时,你经常会发现,他们的目标是那些不希望成为袭击目标的人。”
外卖:考虑你是谁,你做什么。你是否参与该项将是一个罪犯的手中有用的信息?最好保持警惕,点击链接明智,并确保你有一个你知道的是值得信赖的人际网络,这使我们的下一个点....
你有很多“朋友”,所以你在Facebook上有1000个朋友?哇,你一定是个很受欢迎的家伙!在这1000人中,你真正认识的有多少?
Wisniewski说,许多Facebook和Twitter用户喜欢增加他们的朋友列表和关注人数,但他们这样做是有风险的。Sophos对Facebook账号进行了调查,并创建了一个伪造的Facebook个人资料,然后向从全球随机挑选的个人发送好友请求。为了进行实验,Sophos为“Freddi Staur”(ID Fraudster的拼字法)建立了一个个人资料页面,这是一只绿色塑料小青蛙,只泄露了极少的个人信息。然后Sophos发送了200个好友请求,观察有多少人会回复,以及能从回答者那里收集到多少个人信息。实验显示,82名用户(41%)愿意向一个完全陌生的人透露个人信息,如电子邮件地址、出生日期和电话号码。
“当你做400楼或500的朋友,你真的不知道他们,”说的Wisniewski。“你怎么能肯定他们不是坐在那里,潜伏,看你的墙了几个月,让他们看你说的话和使用的东西,是符合你的正常行为,以适应,并有机会较大成功时,它的时间破解吗?”
Wisniewski举了一个大型大学遭受社交网络攻击的例子。黑客们与大学员工成为好友,观看关于学校推出的一个新的IT项目的讨论。最终,犯罪分子通过发送声称“与院长关于新IT项目的信息有关”的信息,成功地让员工点击了恶意链接。
概述:关于接受来自人你不知道真正的“朋友”邀请你再想想。不要自动“跟随”谁跟随你每天的Twitter用户。
你不关心你的隐私settingsThere已经有很多媒体和争议,关于Facebook的隐私设置。对于用户隐私选项在2009年12月最近一次改变,现在给会员有机会从三个层次的隐私选择;只有朋友,朋友和网友大家好。用户还可以选择定制自己的设置,从某些人隐藏的信息。最新的改变一些批评者指出,Facebook目前强制所有用户,使他们的朋友列表,粉丝页面和地点公开。不过,也有可隐藏其他许多敏感的部分。问题是人们不启用隐私设置。
“我认为人们不理解这些变化,”维斯涅夫斯基说。“但如果你使用它们,它们实际上能给你更好的控制。”
根据最新公布的隐私设置选项,如果你没有指定要隐藏什么,以及从谁,这将是适用于所有在默认情况下看到的。这包括人谁找到你在搜索引擎的个人资料。只需要几分钟,您个人资料的“帐户”部分访问您的设置。你可以决定是否需要某些功能,比如你的墙壁或您的个人信息(即:职业,宗教信仰),由朋友而已,朋友的朋友,或者每个人都可以看到。
建议:花点时间更新你的隐私设置。如果你还没有,默认情况下,你的大部分个人资料都可以被你甚至不认识的人阅读;其中可能包括罪犯。
Wisniewski说:“用领英发布你的职业成就是一回事,但是用你的地址、电话号码和其他个人信息发布简历就太过分了。”
Wisniewski表示,LinkedIn通常被视为风险最低的社交网络,但仍存在相当大的风险。除了暴露过多的个人信息这一明显的风险外,你还可能暴露过多的公司信息,从而使他们遭受攻击。
他说:“对于那些想要了解你的公司或者想要了解你的公司的人来说,这简直太棒了。”“我可以去搜索你的公司名称,你的员工中有四分之三的人的个人资料可能告诉我他们从事什么工作,他们的职位是什么。我可以了解到这家公司的很多情况,如果我愿意,我还可以发起一场社会工程攻击,用LinkedIn的信息通过Facebook或电子邮件进行攻击。”
和Facebook一样,LinkedIn也提供了通过账户管理隐私设置的选项。你可以决定你是想要你的完整的个人资料,还是仅仅是某些信息,让每个人都能看到,或者只让你的关系可以看到。
而且,当涉及到TMI在Facebook或Twitter,建议的Wisniewski遵循一个简单的规则,以避免把东西在那里,可以被用来对付你。
“如果你不愿意在酒吧里和一个熟人透露这些信息,也许你应该把它说出来,”他说。
导读:谨慎。当你把自己的名字输入搜索引擎时,检查一下搜索结果,确保搜索到的是你想与全世界分享的信息。
阅读更多关于数据保护的内容在CSOonline的数据保护部分。
这个故事,“意识:社会网络容易上当的四个标志”最初发表方案 。