你可能是黑手党战争和Farmville的冠军,但你知道社交媒体网站的安全风险吗?
Web 2.0技术带来的协作和共享也带来了一组特定的风险。在《被扇耳光:暴露社交网络危险》一书中,安全研究人员内森•哈米尔(Nathan Hamiel)和肖恩•莫耶(Shawn Moyer)解释了攻击是如何变得容易的,因为这些网站的本质——用户可以毫不费力地上传和交换图片、文本、音乐和其他类型的信息。
“社交网站的目的是在一个平台上在一个地方获得尽可能多的用户,而对攻击者来说,追踪他们会有很大的投资回报,”Moyer说,他将目前的环境描述为社会工程和糟糕编程的完美风暴。
在本指南中,我们概述了社交媒体网站和社交网络带来的许多风险,以及如何防止自己和他人成为诈骗或安全漏洞的受害者。
*如果我的公司允许员工使用社交媒体和访问网络站点,我们是否应该制定社交媒体安全政策?
*新的诈骗和威胁无时无刻不冒出来。员工如何才能掌握这些新问题?
社交网络上的诈骗和黑客攻击有多普遍?
2009年,Facebook官方宣布其用户已经超过3亿。推特声称每月有600万独立访客和5500万访客。有了这样的影响力,犯罪分子将这些网站视为寻找受害者的好地方就不足为奇了。因此,在过去的12个月里,关于Twitter和Facebook的安全报道占据了头条。在2009年的一篇引人注目的报道中,黑客成功劫持了30多个名人和组织的Twitter账户,其中包括美国总统奥巴马和布兰妮·斯皮尔斯(见:黑客劫持了奥巴马和布兰妮的推特账号)。被黑的账户被用来发送恶意信息,其中很多都是攻击性的。据Twitter称,这些账户是通过公司内部的支持工具被劫持的。
推特也有问题蠕虫以及垃圾邮件发送者他们开了账户,然后在热门话题上发布链接,实际上链接到色情或其他恶意网站。Facebook也在不断追赶新的骗局和威胁。
这两个网站都因缺乏安全性而受到批评,但最近几个月有所改善。例如,Facebook现在有一个自动的程序来检测Facebook用户的账户中可能暗示恶意软件或黑客企图的问题。该网站最近还宣布与安全软件供应商McAfee合作,旨在提高Facebook用户的安全。看到的:McAfee团队负责Facebook的安全工作。
社交媒体和社交网络带来的最基本风险是什么?
密码惰性是社交网站用户常见的一个简单错误。中描述的社交网络安全的七宗罪“密码惰性”指的是在所有网站上使用相同的密码——如果某个网站的密码被黑客发现或意外泄露,它就为黑客提供了进入其他所有网站的途径。在最坏的情况下,这可能意味着一个Twitter密码黑客把你网上银行账户的钥匙给了别人。
简单的旧TMI——太多的信息。让你的邻居知道你要去度假是一个好主意,这样他们就可以照看你的房子或公寓。在公共网站上发布这些假期计划不是一个好主意。随意透露大量的个人信息——你的生日、出生地、家谱——也不是一个好主意,因为这些信息可能会被用于身份盗窃。
在你的在线互动中,你的个人品牌是另一个需要考虑的因素。
不要陷入“推特愤怒”。斯科特·海耶斯,Database-Brothers公司的总裁兼首席执行官,指出“在愤怒的时候发布任何内容都和发送愤怒的电子邮件一样危险,甚至更危险。在点击‘提交’之前要三思,因为可能多年来全世界都在盯着你那愤怒、不成熟的咆哮。”
包括现在和未来的雇主、父母、孩子和同事。发帖子前要三思。
另一个需要考虑的风险是公司的品牌和声誉。你能确定你的员工没有在社交网站上故意或无意地泄露数据吗?你能确定他们没有贬低你的品牌吗?根据法律专家迈克尔•过于新贸易委员会的指导方针,12月1日生效,2009年,把责任强加于企业声明他们的员工可以在社交网站上,以及个人博客和其他网站,即使公司没有实际知识这些语句。看到过的博客浏览有关新规的更多资料。
然后还有一系列的风险,我们可以把它们归入诈骗的一般标题下。这些都是坏人的积极企图,让你做以下两件事之一:
-分享你不应该分享的信息(密码、敏感数据、公司机密)
-点击一个你不应该点击的链接(因为它会导致一个网站感染了恶意软件)。
给我一些这种骗局的例子。
在脸谱网、推特网的骗局要避免和还要避免5个Facebook、Twitter的骗局我们列出了许多引诱骗子使用的类型的例子,包括:
迈克尔·杰克逊死亡的秘密细节!
人们喜欢八卦,名人新闻总是很受欢迎。这些骗局通常声称拥有名人的秘密信息,并包含指向恶意网站或在电脑上安装恶意软件的链接。
我被困在巴黎了!请寄钱。
所谓的419骗局,骗子侵入Facebook账户,然后给受害者的“朋友”发信息要钱。
OMG !你看到你的照片了吗?
Facebook和Twitter都受到了几起网络钓鱼诈骗的困扰,这些诈骗涉及一个引起用户兴趣的问题,然后引导他们进入一个虚假的登录界面。
测试你的智商
Facebook用户经常会添加一些古怪的应用程序,让他们可以参加测验和投票。最近有一个网站让会员在不知情的情况下订阅了一个每月大约30美元的短信服务。
加入州立大学2013届的Facebook群吧
一家名为college Prowler的大学指南出版商最近因为2013届学生创建Facebook社区而受到批评,这些社区看起来是由他们所在的学院或大学组织的,但实际上并非如此。
微博对现金!
这种骗局有很多种形式。“在推特上赚钱!”和“推特盈利”是两种常见的诱惑,安全分析师说他们最近看到。
你的可爱。在MSN上给我发消息
uk的高级技术顾问Graham Cluley说,性骚扰是垃圾邮件发送者多年来通过电子邮件尝试的一种策略总部设在Sophos的安全公司。在这一策略的最新版本中,Twitter的“推文”以衣着暴露的女性为特征,并在图片中嵌入一条信息,而不是140个字符的推文本身。
保护你的家人远离猪流感
坏人总是会利用新闻头条,比如全世界对猪流感的关注,来诱捕毫无防备的用户。如今,用户更容易通过点击一个坏链接来寻找新闻,因为缩略URL的普遍使用(见:新的垃圾邮件技巧:缩短url)。
麦克·史密斯评论了你的帖子!
阅读朋友的评论是Facebook的主要功能之一。但有些恶意应用程序的名称为“你的照片”和“帖子”,并以有人“评论了你的帖子”的通知开头。However, once the user clicks on that notification, they are lead to a harvesting site called "fucabook.com" which looks like a Facebook log-in page and asks users to enter their log-in information in order to "enjoy the full functionality" of the application. It then steals that log-in information and then spams friends.
琥珀警报发布! !
这一个与其说是骗局,不如说是一个骗局。琥珀警告被粘贴到状态更新中,而这些状态更新被证明是不真实的。
如果我的公司允许访问社会媒体网站,我们是否应该有一个社会媒体安全政策到位?
专注于信息安全、监管合规和IT风险管理的波士顿研究公司IANS在2008年对企业进行了调查,发现大多数企业都没有针对社交媒体制定安全政策。但一年后,在2009年进行的同样的调查却出现了戏剧性的增长。政策可能涉及工作中社交媒体和社交网站的恰当使用,以及员工在网站上可以使用的行为和语言。
IANS联合创始人兼首席执行官杰克•菲利普斯(Jack Phillips)表示:“我们看到,大约三分之一的听众现在已经采取了一些措施,还有很大一部分人正在考虑这类政策。”
具体来说,只有不到10%的受访企业表示,他们的社交媒体政策在2008年得到了全面实施和传播。这一比例在2009年跃升至34%,另有三分之一的受访者表示,他们已经制定或实施了使用社交媒体的政策。根据Phillips的说法,社交媒体现在是组织的前沿和中心,讨论不仅发生在安全团队中,也发生在市场、销售、人力资源甚至高管中。
Phillips认为这是一个机会,为安全人员提高他们的形象和参与一个重要的问题从一开始。他给安全专家一些建议写一个好的社交媒体安全策略的4个技巧。的包括:
1.不要从零开始
媒体的环境是如此的动态,如果你为今天的热门技术制定政策,明天它就会变得模糊。相反,菲利普斯说,应该利用这个机会来吸引人们对现有政策的关注。
2.使用社交媒体政策来提高安全意识
Phillips说,这个问题是信息证券交易委员会领导人重新关注信息安全和风险管理的机会。
3.使用社交媒体来提高安全在组织内的正面形象
尽管对新媒体的最初安全反应往往是被屏蔽,菲利普斯说,大多数组织现在需要考虑的不仅是允许访问是必要的,而且从信息委员会的角度来看也是有用的。
4.为下一阶段做好准备
随着社交媒体平台的来来去去,一些社交媒体平台最终将成为企业不可或缺的一部分。菲利普斯说,虽然围绕社交媒体制定全新的政策现在还没有意义,但在某种程度上,政策必须更加具体。
新的骗局总是层出不穷。员工如何才能在这些新的威胁面前保持领先?
社交媒体和社交网络带来的威胁在不断演变,因此,让用户了解最新的、最强大的“诱惑”可能是什么,这是一个可靠的安全意识项目的重要组成部分。在9个肮脏的伎俩:社会工程师最喜欢的接台词我们列出了一些可以在社交网络上看到的潜在策略。为了帮助用户识别他们可能做错了什么,我们列出了人们使用社交网络时所犯的错误社交网络安全的七宗罪。
与许多安全失误一样,错误和需要吸取的教训往往要回到个人身上。正如Peter Soderling在为什么Twitter黑客不是云安全警钟在美国,发生在这些网站上的许多黑客攻击都是由于密码薄弱造成的。看看这些小贴士如何写好密码为用户提供创建安全登录凭据的建议。
这个故事,“社交媒体风险:基础”最初是由方案 。