企業須考慮的十大社交網絡威脅
社交網絡在個人生活中深刻地改變著我們的行為方式,也在轉變個人職業生活方面扮演著重要的作用。在商業活動中社交網絡也將發揮著越來越很重要的影響力。不過社交網絡也不是萬能的,社交網絡具有高風險性。由于社交網絡吸引了眾多用戶的青睞,黑客也就打起了社交網絡的鬼主意,尤其是在近年來,社交網絡已經成為黑客攻擊最重要的目標之一。
社交網絡:堵還是疏?
根據Palo Alto Networks,下面我們列出企業在制定規則的時候必須考慮到的社交網絡的十大威脅/風險。
1、社交網絡蠕蟲
根據研究,社交網絡蠕蟲比如Koobface這類已經成為Web 2.0時代最大的僵尸網絡。這種具備多方面威脅的Koobaface等蠕蟲病毒對傳統“蠕蟲”的定義提出了挑戰。比如Facebook、mySpace、Twitter、hi5、Friendster和Bebo等社交網絡,在某種程度上為僵尸網絡的擴充提供了用戶基礎,它們可以借由攻破用戶帳號來大量發送垃圾郵件給更多的主機。同時,他們還會使用傳統的僵尸網絡來威脅社交網絡。
2、網絡釣魚
還記得FBAction嗎?這封郵件會誘使你注冊Facebook,并引導你登錄到一個名叫fbaction.net的網站,該網站設計和Facebook堪稱完全一樣。雖然只有一小部分的Facebook用戶遭受攻擊,但相對于其用戶數量超過3.5億來說,受影響的用戶數量絕對不小。值得稱道的是,Facebook反應迅速加強了監控。 Facebook雇請的網絡安全公司成功地干掉了這個假網站,但另外一個假網站FBStarter.com馬上又跳出來,繼續騙人。安全公司認為,這表明是黑客是“集團作案”。雖然使用的技術不是最新,但其創造性和速度卻顯示出他們很有經驗,有機會還會繼續搗亂。
3、木馬
社交網絡已經成為木馬泛濫的一個重要場所:
ZeuS——ZeuS木馬是一種傳染性非常強的計算機威脅,在全球各地的計算機上都能夠看到它的身影。由于ZeuS木馬易于傳播,并且能夠非常方便地竊取受感染用戶的在線數據,使得ZeuS木馬成為互聯網黑市上銷售量最高的間諜軟件之一。此木馬能夠幫助網絡罪犯獲取計算機用戶上任何有價值的信息,不管是某個賬號的登錄名、密碼,還是瀏覽器記住并在自動完成字段填入的各種數據。
URL Zone——也是一種銀行木馬,但更智能更具有破壞力。它能分析受害用戶的價值以幫助決定竊取用戶信息優先級。
4、數據泄露
社交網絡主旨意在網絡分享。不幸的是,很多社交網絡上的用戶透露過多關于其所在機構的信息——工程項目、產品、財務狀況、公司重大事項和其他敏感信息。
5、短網址
用戶喜歡用URL縮短服務(比如bit.ly和tinyurl)以解決網址過長的問題。黑客正好也利用這一URL縮短服務來迷惑用戶,讓受害者相信他們所訪問的不是惡意網站。URL縮短服務在技術上很容易實現而且無處不在。很多Twitter客戶端都會自動縮短訪問鏈接。甚至夫妻一方會過多透露其配偶為了某項絕密計劃而深夜加班趕進度的信息。
6、僵尸網絡
去年年底,安全專家披露了Twitter帳號被用作指揮和控制某些僵尸網絡的非法渠道。一般的指揮和控制渠道是IRC(Internet Relay Chat),但有些人會使用其他一些應用程序——P2P文件共享來實現。后來Twitter關閉了這些被用來指揮控制僵尸網絡的帳號,但也給受感染主機訪問Twitter的提供了便利。
7、高級持續性威脅
高級持續性威脅(Advanced Persistent Threat,APT)是黑客入侵系統的一種新方法。它是一種高級的、狡猾的伎倆,高級黑客可以利用 APT入侵網絡、逃避“追捕”、隨心所欲對泄露數據進行長期訪問。這意味著用戶所面臨的攻擊和威脅將是長期的、持續的,因此對于機構而言必須時刻保持“戰備”狀態,這是十分必要的。這是一場不會結束的戰爭。APT極其狡猾、隱匿,這預示著機構很可能在幾個月內持續遭受入侵,卻渾然不知。
8、跨站請求偽造
它并不是一種具體的威脅形式,看起來更像是傳播社交網絡蠕蟲的伎倆。CSRF(Cross-site request forgery跨站請求偽造)利用騙取社交網絡程序的方式來攻擊已登錄用戶的瀏覽器。CSRF是一種依賴web瀏覽器的、被混淆過的代理人攻擊(deputy attack),攻擊通過在授權用戶訪問的頁面中包含鏈接或者腳本的方式工作。風險在于那些通過基于受信任的輸入form和對特定行為無需授權的已認證的用戶來執行某些行為的web應用。已經通過被保存在用戶瀏覽器中的cookie進行認證的用戶將在完全無知的情況下發送HTTP請求到那個信任他的站點,進而進行用戶不愿做的行為。使用圖片的CSRF攻擊常常出現在網絡論壇中,因為那里允許用戶發布圖片而不能使用JavaScript。
9、身份偽造
身份偽造(Impersonation):指攻擊者偽裝自己成為一個授權用戶以獲得未授權訪問。身份偽造屬于破壞保密性的威脅。大部分身份偽造的人不會散播惡意程序,不過也不排除小部分受攻擊帳號會被用作此類用途。
10、信任
幾乎大部分威脅的共同之處都在于獲得了用戶對社交網絡應用程序的充分信任。比如電子郵件,當它成為主流或者無處不在的即時信息時,人們都會相信這些來自“朋友”所提及的網站鏈接、圖片、視頻和可執行文件的合法性。
【編輯推薦】
