社交网络在个人生活中深刻地改变着我们的行为方式,也在转变个人职业生活方面扮演着重要的作用。在商业活动中社交网络也将发挥着越来越很重要的影响力。不过社交网络也不是万能的,社交网络具有高风险性。由于社交网络吸引了众多用户的青睐,黑客也就打起了社交网络的鬼主意,尤其是在近年来,社交网络已经成为黑客攻击最重要的目标之一。
社交网络:堵还是疏?
根据Palo Alto Networks,下面我们列出企业在制定规则的时候必须考虑到的社交网络的十大威胁/风险。
1、社交网络蠕虫
根据研究,社交网络蠕虫比如Koobface这类已经成为Web 2.0时代最大的僵尸网络。这种具备多方面威胁的Koobaface等蠕虫病毒对传统“蠕虫”的定义提出了挑战。比如Facebook、mySpace、Twitter、hi5、Friendster和Bebo等社交网络,在某种程度上为僵尸网络的扩充提供了用户基础,它们可以借由攻破用户帐号来大量发送垃圾邮件给更多的主机。同时,他们还会使用传统的僵尸网络来威胁社交网络。
2、网络钓鱼
还记得FBAction吗?这封邮件会诱使你注册Facebook,并引导你登录到一个名叫fbaction.net的网站,该网站设计和Facebook堪称完全一样。虽然只有一小部分的Facebook用户遭受攻击,但相对于其用户数量超过3.5亿来说,受影响的用户数量绝对不小。值得称道的是,Facebook反应迅速加强了监控。 Facebook雇请的网络安全公司成功地干掉了这个假网站,但另外一个假网站FBStarter.com马上又跳出来,继续骗人。安全公司认为,这表明是黑客是“集团作案”。虽然使用的技术不是最新,但其创造性和速度却显示出他们很有经验,有机会还会继续捣乱。
3、木马
社交网络已经成为木马泛滥的一个重要场所:
ZeuS——ZeuS木马是一种传染性非常强的计算机威胁,在全球各地的计算机上都能够看到它的身影。由于ZeuS木马易于传播,并且能够非常方便地窃取受感染用户的在线数据,使得ZeuS木马成为互联网黑市上销售量最高的间谍软件之一。此木马能够帮助网络罪犯获取计算机用户上任何有价值的信息,不管是某个账号的登录名、密码,还是浏览器记住并在自动完成字段填入的各种数据。
URL Zone——也是一种银行木马,但更智能更具有破坏力。它能分析受害用户的价值以帮助决定窃取用户信息优先级。
4、数据泄露
社交网络主旨意在网络分享。不幸的是,很多社交网络上的用户透露过多关于其所在机构的信息——工程项目、产品、财务状况、公司重大事项和其他敏感信息。
5、短网址
用户喜欢用URL缩短服务(比如bit.ly和tinyurl)以解决网址过长的问题。黑客正好也利用这一URL缩短服务来迷惑用户,让受害者相信他们所访问的不是恶意网站。URL缩短服务在技术上很容易实现而且无处不在。很多Twitter客户端都会自动缩短访问链接。甚至夫妻一方会过多透露其配偶为了某项绝密计划而深夜加班赶进度的信息。
6、僵尸网络
去年年底,安全专家披露了Twitter帐号被用作指挥和控制某些僵尸网络的非法渠道。一般的指挥和控制渠道是IRC(Internet Relay Chat),但有些人会使用其他一些应用程序——P2P文件共享来实现。后来Twitter关闭了这些被用来指挥控制僵尸网络的帐号,但也给受感染主机访问Twitter的提供了便利。
7、高级持续性威胁
高级持续性威胁(Advanced Persistent Threat,APT)是黑客入侵系统的一种新方法。它是一种高级的、狡猾的伎俩,高级黑客可以利用 APT入侵网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。这意味着用户所面临的攻击和威胁将是长期的、持续的,因此对于机构而言必须时刻保持“战备”状态,这是十分必要的。这是一场不会结束的战争。APT极其狡猾、隐匿,这预示着机构很可能在几个月内持续遭受入侵,却浑然不知。
8、跨站请求伪造
它并不是一种具体的威胁形式,看起来更像是传播社交网络蠕虫的伎俩。CSRF(Cross-site request forgery跨站请求伪造)利用骗取社交网络程序的方式来攻击已登录用户的浏览器。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack),攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。使用图片的CSRF攻击常常出现在网络论坛中,因为那里允许用户发布图片而不能使用JavaScript。
9、身份伪造
身份伪造(Impersonation):指攻击者伪装自己成为一个授权用户以获得未授权访问。身份伪造属于破坏保密性的威胁。大部分身份伪造的人不会散播恶意程序,不过也不排除小部分受攻击帐号会被用作此类用途。
10、信任
几乎大部分威胁的共同之处都在于获得了用户对社交网络应用程序的充分信任。比如电子邮件,当它成为主流或者无处不在的即时信息时,人们都会相信这些来自“朋友”所提及的网站链接、图片、视频和可执行文件的合法性。
【编辑推荐】