文章內容

朋友還是騙子？淺析信息安全和社交網(wǎng)絡

發(fā)布時間: 2012/8/1 20:39:54

回首今年1月，居民布萊恩.瑞伯格在美國華盛頓州西雅圖市的朋友們從來自布萊恩帶有照片的Facebook郵箱的電子郵件中讀到，布萊恩出現(xiàn)了問題。在電子郵件中，布萊恩聲稱他遇到了大麻煩，需要朋友們的幫助。

至少有一位朋友向他匯錢。然而事實上布萊恩并沒有陷入麻煩，也不需要幫助--只是他的網(wǎng)站被網(wǎng)絡犯罪分子利用了。

這只是一起針對世界領先的社交網(wǎng)站Facebook的網(wǎng)絡詐騙活動。

Facebook的規(guī)模和飛速的增長就像一塊蜜糖吸引了網(wǎng)絡犯罪分子這些蒼蠅的注意不過不僅是日常的用戶處在風險之中。由于Facebook和提供軟件的幾家廠商捆綁在一起搭建企業(yè)社區(qū)，因此企業(yè)也通常處在了危險之中。

社交網(wǎng)絡存在被網(wǎng)絡犯罪分子利用的弱點是因為社交網(wǎng)絡為了吸引更多的用戶就必須保持開放性。有時他們的運行模式是與常規(guī)的數(shù)據(jù)安全體系相悖的，這就使得保障社交網(wǎng)絡的安全變得更加困難。

其他的Facebook案例

在類似布萊恩的案例中，一名犯罪分子誘騙用戶透露密碼等個人信息(俗稱釣魚)，然后利用這些信息來掌控用戶的賬戶。由此可見，舉例來說釣魚者會利用各種誘騙的手段，勸服受騙用戶的朋友給他指定的賬戶匯錢。一旦錢款匯出他們就會中途截留。光是今年的四五月間，就發(fā)生了三起涉及大量Facebook用戶的釣魚式攻擊。

今年2月垃圾郵件傳播者就劫持了Facebook網(wǎng)站上高達500萬用戶的Facebook新版本頁面。他們向超過150萬用戶發(fā)送了各種垃圾廣告。

去年以來木馬制造者也開始攻擊Facebook，Koobface蠕蟲和至少一種變種重復攻擊了Facebook網(wǎng)站。

為什么總是社交網(wǎng)站?

Facebook當然不是遭遇攻擊的唯一網(wǎng)站。面向專業(yè)人員的社交網(wǎng)站LinkedIn也受到了攻擊。MySpace網(wǎng)站過去定期會受到攻擊，直到Facebook的頻繁中招將他們的遭遇湮沒不見。

為什么社交網(wǎng)站總是成為黑客，木馬制造者和其他網(wǎng)絡犯罪分子的首要攻擊目標?

一個原因是人們喜歡社交網(wǎng)站。根據(jù)尼爾森研究公司的在線調研，社交網(wǎng)站在人們在互聯(lián)網(wǎng)上花費的時間總和中占據(jù)10%的比例。在美國，歐洲，巴西和澳大利亞互聯(lián)網(wǎng)用戶中有2/3的人群在使用社交網(wǎng)絡或者博客網(wǎng)站。

尼爾森研究公司的發(fā)言人米歇爾.麥克尼表示，這個數(shù)字是令人吃驚的：在美國所謂的數(shù)字世界的人口總和幾乎達到了1.56億人。在英國有超過2900萬人會上互聯(lián)網(wǎng);在巴西這個數(shù)字超過了2500萬。如果這些人中有2/3的人群使用社交網(wǎng)絡，這個數(shù)字就會大到沒法被網(wǎng)絡詐騙者忽視。

繼續(xù)保持增長

網(wǎng)絡犯罪分子喜歡社交網(wǎng)站的另一個原因是這些網(wǎng)站為了吸引更多的用戶加入，就必須保持進入的便捷性。

Breach Security的應用軟件安全研究總監(jiān)Ryan Barnett表示"這對于一家社交網(wǎng)站的成功和普及是非常重要的，只有這樣才能讓用戶共享數(shù)據(jù)，網(wǎng)絡工具和動態(tài)網(wǎng)頁"。

安全專家則正好相反，他們寧愿讓用戶進入網(wǎng)絡更加困難。

"從安全的角度來說，靈活性的增加就意味著濫用功能的風險加劇"。

這些相互矛盾的力量能夠得到解決并且讓社交網(wǎng)站變得安全嗎?

通往正義的道路非常艱難

Facebook的發(fā)言人巴里.斯科特表示，F(xiàn)acebook一直在致力于保障網(wǎng)站的安全。除了研發(fā)防范，偵測和消滅針對用戶的攻擊行為的技術外，F(xiàn)acebook還和微軟，木馬防御中心等安全組織展開合作。

他們還在博客上運行用戶培訓窗口來推動用戶保護他們的安全頁面。

斯科特稱"自從網(wǎng)站5年多前成立以來，我們的這些努力結合起來會將被安全問題所影響的Facebook用戶的數(shù)量限制到1%以內。通過對比，你會發(fā)現(xiàn)在2005年，由司法部提供的最新統(tǒng)計數(shù)據(jù)顯示，每1000個美國家庭中就有29.5個，或者說30%。被盜竊過"。

不過安全問題仍然對那不到1%的Facebook用戶人群造成了傷害。比如布萊恩--他的賬戶就被鎖定了一周的時間，他的朋友也因為網(wǎng)絡犯罪分子的行為損失了1200美元。

企業(yè)須知的安全社交網(wǎng)絡行為

企業(yè)為了構建用戶社區(qū)會通過和在線客戶關系管理廠商Salesforce.com和IBM的Lotus Notes division等軟件廠商與Facebook捆綁合作。但是這種做法也是一把雙刃劍。

反病毒廠商Sophos公司的資深技術咨詢師Graham Cluley表示"這對于接近用戶是有意義的，但是同時也讓企業(yè)處在被感染的風險之中"。企業(yè)應該在他們的IT基礎架構中包括安全解決方案，對每個網(wǎng)絡或者用戶能使用的鏈接進行安全掃描，看看這些網(wǎng)頁和鏈接中是否存在惡意病毒。

Cluley建議說，企業(yè)還應該培訓用戶不要對所有登錄的網(wǎng)站都使用同樣的密碼，最好設置強大的密碼。

開放是關鍵

雖然要求輸入用戶名/密碼是一種被計算機用戶廣泛熟知的安全系統(tǒng)，但它未必是最有效的。

VeriSign公司的高級副總裁Fran Rosch曾經在接受采訪時表示"這種結合顯然并不安全，有很多方法都可以將其破解"。

Facebook的斯科特并不認同這種說法，他認為"用戶名和密碼是一種行業(yè)解決方案，每天有數(shù)億用戶在使用這種驗證方法"。斯科特還補充說，F(xiàn)acebook會采取額外的安全措施，比如嘗試輸入密碼多次后會阻止訪問。

根據(jù)Rosch的說法，社交網(wǎng)絡仍然不希望設置更加嚴格和復雜的安全措施，因為他們希望能吸引更多的用戶群。"我們和Facebook和MySpace進行過商談，他們告訴我們：易于使用和開放性對他們來說比安全更加重要"。

Facebook的斯科特表示"Facebook是人們之間彼此聯(lián)系和分享的工具;網(wǎng)站真正的目的就是為了人們的聯(lián)系和共享"。

使用雙重身份驗證

VeriSign公司的Rosch認為，社交網(wǎng)站應該使用雙重身份驗證。雙重身份驗證是由你所有的和你所知道的東西組成的。

你有的東西可能是你的計算機或者手機，可以由VeriSign的代理服務器來驗證用戶的設備。密碼是驗證的另外一個組成部分。

VeriSign通過VeriSign驗證保護服務提供雙重身份驗證。軟件代理會在特定的時間被發(fā)送。因此用戶可以升級他的計算機，這樣就不會被黑客所竊取。Rosch稱"如果有人嘗試通過互聯(lián)網(wǎng)竊取驗證信息就會被識破"。

了解自己

從事互聯(lián)網(wǎng)安全業(yè)務和社交聯(lián)絡服務的Purewire公司提供了另一個選擇。Purewire公司建立了一個免費的在線信譽驗證服務網(wǎng)站PurewireTrust.org，這個網(wǎng)站可以供用戶檢查和驗證其他在線人員的身份。這個三月份成立的網(wǎng)站目前仍然處在測試階段。

Purewire和PurewireTrust.org的研究科學家史蒂夫.沃博介紹說，PurewireTrust.org存儲了來自網(wǎng)名網(wǎng)絡身份驗證的信息，會自動對來自不同來源的數(shù)據(jù)進行交叉核對來校驗數(shù)據(jù)的準確性。

PurewireTrust.org與Facebook Connect單一登錄服務結合使用來改進Facebook用戶的安全性。沃博表示"我們通過電子郵件地址知道了成百上千的網(wǎng)名，我們可以對通過Facebook Connect登錄的數(shù)千人進行身份驗證"。

"大家需要在線驗證的服務，我們想努力成為在線驗證領域的谷歌"。
本文出自：億恩科技【www.cmtents.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> 八大方略助力數(shù)據(jù)中心減少電能消耗
下一篇 >> 小技巧：迅速掌握桌面虛擬化的八大問題

国产欧美一区二区精品行性色_91精品午夜在线观看_亚洲精品无码激情国产_91精品啪在线观看国产城中村_91看片国产一区二区色欲

服務器租用

服務器托管

機柜批發(fā)

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

朋友還是騙子？淺析信息安全和社交網(wǎng)絡

同類文章

億恩公告

在線客服