贵公司的产品营销经理刚刚在LinkedIn上发布了一张照片。问题?在图像的背景下,有一个包含他的网络密码的后IT笔记。您几乎看不到它,但使用人工智能算法,黑客可以扫描公开的图像,确定有网络密码,并使用它们进行数据盗窃。
据数据安全专家大卫玛瑙,这不是火箭科学。实际上,AI程序比搜索引擎更容易使用。“AI可以识别照片中的对象和照片的环境,猜测图像内容的描述以及您的可能年龄,性别,面部表情等等,”Maynor说。“这些工具与他们扫描,学习和更准确的每种图像都越来越强大。”
虽然可能很容易将像Facebook,Twitter和LinkedIn这样的网站视为员工的无害转移,但他们揭示了一个财富可行的英特尔到黑客。
[也在CSO上:关于安全领导者社交媒体的两个观点]
Endpoint Security Company的高级安全工程师James MaudeAvecto.,告诉CSO与社交媒体黑客的另一个令人不安的发展。黑客现在可以扫描Twitter Feed,了解有关员工偏好和口味的信息。如果同一营销经理整天帖子关于他的新iPhone 7,那么黑客可以创建一个类似于iPhone 7案例的产品公告的网络钓鱼骗局。突然间,诀窍更有效,因为黑客知道存在现有的,验证的兴趣。
“社交媒体和个人电子邮件的目标增加绕过许多网络防御,例如电子邮件扫描和URL过滤,”Maude说。“其中一个最危险的方面是攻击者通过使用就业优惠或非法内容,迎来未披露其组织的安全团队的事件来操纵受害者。”
当然,部分问题是社交媒体是一个令人难以置信的大攻击向量 - 最大的创造。Facebook拥有17.9亿用户。推特拥有3.17亿用户。找到不使用商业环境中的社交媒体的人变得难得很难。像飞蛾一样火焰,黑客知道他们可以找到释放异常敏感数据的可容纳受害者。
容易黑客攻击?
社交媒体黑客也依靠年龄古老的技术,作为安全专家Mike Baukes - IT自动化公司的Cofounderupguard.- 向CSO解释。由于Facebook这样的网站被许多用户被视为“消费者级”,员工不同时考虑安全性,因此他们不会因双因素身份验证而烦扰(例如,通过文本接收解锁代码)。而且,员工可以授予无数的第三方应用程序,也可能无法安全。
BAUKES表示,这创造了一个简单的目标,特别是因为用户忘记了他们批准的哪些网站,他们可以释放信息,代表他们发布,并连接到其他服务。黑客可能无法闯入Twitter帐户,但他或她可能更成功,仪表板将您的身份验证数据存储在不太安全的门户中。
另一个简单的攻击是如此普遍,很可能已经发生在许多员工上。黑客使用来自社交媒体的员工图片并发送网络钓鱼消息。因为你看到自己的照片,你自然地点击了。Joseph Carson,全球战略联盟负责人辣味是一家安全的帐户管理公司,称单击该电子邮件将用户导致用户授予访问其登录的网站(通常通过假“密码重置”)。
[ 有关的:社交媒体如何改变可以说的是什么,何时何地]
该怎么办
BAUKES很快指出,Facebook和Twitter等大多数顶级社交媒体服务都提供了双因素认证,因此应指示员工如何启用和使用这些功能。旁边,员工还需要非常谨慎地向任何第三方网站交出凭据。它创建了共享登录的安全噩梦。
Maynor表示,了解如何使用黑客社交媒体数据非常重要。在Selfie扫描示例中,广告商可能会使用诸如位置和性别的提取数据以供广告目的。员工需要了解社交媒体信息可以揭示关于一个可以被黑客用于邪恶目的的公司的数据的宝库。
纳森维伦勒,主要的安全架构师Astech Consulting.说,表示用户应该被指示如何观察他们的社交媒体活动的异常变更。例如,如果您通常使用Facebook并且服务永远不会向您注销,那么突然开始为无缘无故登录,可能是由于妥协 - 用户需要报告此更改。
[ 更多的:曾经在这些社会工程情况下?]
网站安全公司总裁Neill羽毛西里洛克和一个董事会成员在线信任联盟,重申对第三方网站(如TweetDeck或Hootsuite)的关注。通常,员工频繁使用主要的社交媒体网站的强密码,但仪表板的密码薄弱,这是一个错误。另一个最佳实践:永远不要接受来自您不知道的人的朋友请求。他说,Facebook估计至少2%的用户账户是假的。他说,Twitter已报告,至少5%的用户账户是假的。
诱惑是将社交媒体视为开放的喧嚣门户网站,并且对该索赔有一些合法性。巨魔,黑客和Posers正在这些网站上爬行。然而,他们提供真实的商业价值,并不会很快消失。所有专家都同意:培训是关键。用户应该知道将受害者成为一个简单的社交媒体黑客。
这个故事,“社交媒体黑客攻击手段的兴起是最初发布的CSO 。