是什么让网络犯罪分子的目标,你在社交网络骗局?Sophos的最新研究确定一个软目标的迹象网上。
本月初,CSO报道,Facebook,Twitter和LinkedIn网络犯罪攻击已经展开,根据最近由安全公司Sophos(见进行了调查:Facebook,微博,社交网络攻击的两倍,2009年)的恶意软件和垃圾邮件的.Reports在过去12个月在社交网络上上涨70%,用户的57%报告说,他们已经通过社交网站的垃圾邮件。另外36%的灵兽,他们已经通过社交网站发送的恶意软件(参见:社会内侧风险:基础知识)。
也了解了一些最常见的方式获得用户在拍摄社交网络5 Facebook,微博诈骗,以避免和5更Facebook,微博诈骗,以避免
“社会保障”的调查是Sophos的2010年安全威胁报告,它看起来在当前和新兴的计算机安全趋势和发现,社交网络开辟了网络罪犯找到所谓的‘软’目标和拉动新的机会的一部分精密和有针对性的攻击。我们想知道:是什么让一个人看起来像一个简单的打了坏人?切特的Wisniewski,资深安全顾问与安全公司Sophos,为我们提供了一些线索。
您可以访问一个VIP或有价值的数据
安全研究人员指出两种不同类型的社交网络攻击,根据的Wisniewski。首先;许多用户收到一条消息,对自己的Facebook墙上,在他们的收件箱中,或在Twitter上较传统的喷垃圾邮件,含有恶意链接。但另一方面,更令人担忧的趋势,说的Wisniewski,就是这些社交网络,通过他们的工作性质,有可能使犯罪分子的网络秆潜在的受害者。坏人看你的活动,看看你说的话,然后在一次进攻中使用它(详情请阅读社会网络安全的七宗罪)。
“肯定是有犯罪行为,他们正在服用的时间,为了拉断某些事情密切关注的另一个网络”的Wisniewski说。
在对这种攻击的风险用户可能是谁有权访问某人或某事,刑事想要的人。您可能是行政助理到企业的CEO或人力资源代表谁可以访问公司所有的员工档案。你可能不认为任何人的通知,但是这使得你一个理想的目标,说的Wisniewski。
“如果你是无辜的使用Facebook的人的行政助理,和歹徒知道你在与人相关的重要的可以针对您的个人资料,试图让恶意软件到您的电脑,”他说。一旦他们安装恶意软件到您的电脑,黑客可以访问具有击键记录技术,这只是其中的一个办法臀位敏感数据例如敏感信息。事实上,在谷歌近期大张旗鼓基于中国的网络攻击,据透露,歹徒抬头关键员工在社交网络上,发现谁是自己的朋友们在Facebook上。然后,他们砍死的那些朋友的账户,并联系他们的受害者假装是人,他们没有。员工点击了从所谓的恶意链接“朋友”,并导致恶意软件。
“当你的攻击后取证调查,往往你会发现,他们瞄准谁不希望有针对性的人”的Wisniewski说。
外卖:考虑你是谁,你做什么。你是否参与该项将是一个罪犯的手中有用的信息?最好保持警惕,点击链接明智,并确保你有一个你知道的是值得信赖的人际网络,这使我们的下一个点....
你有很多“朋友”,所以你在Facebook上有1000个朋友?哇,你一定是个很受欢迎的家伙!在这1000人中,你真正认识的有多少?
Wisniewski说,许多Facebook和Twitter用户喜欢增加他们的朋友列表和关注人数,但他们这样做是有风险的。Sophos对Facebook账号进行了调查,并创建了一个伪造的Facebook个人资料,然后向从全球随机挑选的个人发送好友请求。为了进行实验,Sophos为“Freddi Staur”(ID Fraudster的拼字法)建立了一个个人资料页面,这是一只绿色塑料小青蛙,只泄露了极少的个人信息。然后Sophos发送了200个好友请求,观察有多少人会回复,以及能从回答者那里收集到多少个人信息。实验显示,82名用户(41%)愿意向一个完全陌生的人透露个人信息,如电子邮件地址、出生日期和电话号码。
“当你做400楼或500的朋友,你真的不知道他们,”说的Wisniewski。“你怎么能肯定他们不是坐在那里,潜伏,看你的墙了几个月,让他们看你说的话和使用的东西,是符合你的正常行为,以适应,并有机会较大成功时,它的时间破解吗?”
的Wisniewski指出,这是受到社会网络上的攻击一所大学的例子。黑客天书奇谈大学雇员,看着在学校被铺开打算在一个新的IT计划,讨论。罪犯最终设法成功地让员工通过发送宣称邮件点击恶意链接“涉及到院长的有关新的IT计划的消息。”
概述:关于接受来自人你不知道真正的“朋友”邀请你再想想。不要自动“跟随”谁跟随你每天的Twitter用户。
你不关心你的隐私settingsThere已经有很多媒体和争议,关于Facebook的隐私设置。对于用户隐私选项在2009年12月最近一次改变,现在给会员有机会从三个层次的隐私选择;只有朋友,朋友和网友大家好。用户还可以选择定制自己的设置,从某些人隐藏的信息。最新的改变一些批评者指出,Facebook目前强制所有用户,使他们的朋友列表,粉丝页面和地点公开。不过,也有可隐藏其他许多敏感的部分。问题是人们不启用隐私设置。
“我不认为人们认识的变化,”的Wisniewski说。“但是他们实际上给你更精确的控制,如果你使用它们。”
根据最新公布的隐私设置选项,如果你没有指定要隐藏什么,以及从谁,这将是适用于所有在默认情况下看到的。这包括人谁找到你在搜索引擎的个人资料。只需要几分钟,您个人资料的“帐户”部分访问您的设置。你可以决定是否需要某些功能,比如你的墙壁或您的个人信息(即:职业,宗教信仰),由朋友而已,朋友的朋友,或者每个人都可以看到。
外卖:以更新您的隐私设置的时间。如果你还没有,默认情况下,大部分的配置文件都可以通过人,你甚至不知道读;其中可能包括罪犯。
您共享的信息太多“这是一回事,使用LinkedIn来发表您的专业成就,”的Wisniewski说,“但是,张贴简历与您的地址和电话号码等个人信息走得太远。”
LinkedIn,通常被视为风险最低的社交网络,仍然构成危险的合理数量的,说的Wisniewski。除了透露太多个人信息的明显风险,还可以透露太多关于您的公司,将它们设置为攻击。
“对于有人找你的组织的信息或寻找有关你公司非常神奇的目标位,”他说。“我可以去搜索你的公司名称和您的员工的四分之三可能有个人资料,告诉我他们做什么,他们的立场是什么。我可以学到很多有关该公司,如果我想,我可以然后采取一个社会工程攻击,并使用该LinkedIn信息,通过Facebook或电子邮件我的攻击“。
LinkedIn,Facebook等,使您能够通过账户管理您的隐私设置的选项。你可以决定是否要您的完整的个人资料,或只是特定的信息,是提供给大家,还是只连接。
而且,当涉及到TMI在Facebook或Twitter,建议的Wisniewski遵循一个简单的规则,以避免把东西在那里,可以被用来对付你。
“如果你不愿意在酒吧里和一个熟人透露这些信息,也许你应该把它说出来,”他说。
概述:要谨慎小心。检查时您将您的名字在搜索引擎中,并确保出现什么是你想与世界分享的信息会发生什么吧。
阅读更多关于数据保护的内容在CSOonline的数据保护部分。
这个故事,“意识:社会网络容易上当的四个标志”最初发表CSO 。