科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全宝典:揭露威胁社交网络的七大因素

安全宝典:揭露威胁社交网络的七大因素

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

互联网时代人们的生活习惯正在悄然发生改变,电子邮件、QQ、MSN等互联网通信工具成为用户必备的工作交流工具,社区、BBS等开放型交流平台方便了人们快速获取信息。专家建议用户必须警惕跨站脚本攻击行为,攻击者可以利用各种已知或未知的漏洞强迫用户加载HTML代码,最终控制用户计算机并窃取用户信息。

来源:IT专家网 2008年11月13日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

  互联网时代人们的生活习惯正在悄然发生改变,电子邮件、QQ、MSN等互联网通信工具成为用户必备的工作交流工具,社区、BBS等开放型交流平台方便了人们快速获取信息。然而在畅谈的同时,您是否想过您的个人信息及敏感数据,正在通过社交网络被攻击者所窃取。

  社交网络的本质是为用户创建一个可以自由交流的在线平台,然而由于社交网络普遍基于Web,以及社交网络承载了太多的用户个人敏感信息,因此在Web安全威胁日益加剧的今天,我们有必要来认识社交网络潜藏的安全威胁。随着地下黑色产业链的成熟,用户及企业的敏感信息,将会为攻击者带来可观的经济利益,因此社交网络已经成为众多攻击者眼中的风水宝地。

  近日,国外安全专家总结了社交网络的七大安全威胁,我们将结合您的习惯共同发现潜在的安全威胁。

  1、针对人信息攻击

   近年来的社交网络攻击日益加剧,许多用户的个人信息被攻击者滥用,例如大家记忆犹新的“艳照门”事件,无形中增加了用户信息安全风险。也许你并没有跟别人说自己是谁、在什么地方,但这并不能阻止攻击者获取您的信息。

  人肉搜索的盛行,使得获取用户敏感信息不在神秘。正如安全研究人员在BlackHat所演示一样,攻击者甚至不必拥有要攻击社交网络的配置信息,也不必拥有账号,就可将他人的照片发送到互联网上,并获取在线的信息。

  2、垃圾邮件与僵尸网络

  垃圾邮件已成为一种巨大的地下产业。大量的垃圾邮件为恶意广告、点击欺骗、以及恶意软件传播提供了途径。专家警告,攻击者正在利用社交网络劫持用户账户,并传播垃圾邮件、蠕虫病毒及其它的恶意软件。

  我们必须警惕,越来越多的恶意软件被作为附件隐藏于垃圾邮件中。这些邮件通过诱惑性的内容,诱使用户点击攻击者精心伪装的URL链接,无声息的将木马及其他恶意软件植入用户系统中。如果您点击了这些附件,很不幸,您也许已经在无意识见成为僵尸网络的一部分。

  3、伪造社交网络应用程序

  作为普通用户并不会过多地考虑将应用程序安装到浏览器中安全问题,但研究证明,一些例如下载工具的应用程序很可能会获得访问用户系统的能力,这无疑对用户的敏感信息是极大的威胁。实践证明大量的第三方应用程序已经成为黑客攻击的工具。此外,第三方的应用程序服务还使得基于代码的攻击获得了途径。

  专家总结说,“对安全不了解的开发人员可以构建应用程序,但却会给使用这些应用的用户带来巨大的安全风向。”

  4、信息混杂

  信息混杂是一个复杂的问题,即使您是一位经验丰富的专业安全认识,也可能由于疏忽让您的敏感信息透露给攻击者。专家指出,“即便用户有两个不同的帐号来分类信息,也难免在两个帐号中出现重复信息。”

  5、XSS跨站脚本攻击

  脚本技术的盛行,方便了互联网的应用开发,但同时也带来严重的威胁XSS(跨站脚本攻击)及伪造请求攻击。很不幸如今网络中已存在大量的利用脚本漏洞传播的蠕虫病毒,虽然大多数社交类网站拥有应对脚本攻击的保护机制,但是效果却并不理想。

  跨站脚本攻击XSS对社交站点并未造成巨大的风险。在跨站脚本攻击中,恶意的代码被注入到有漏洞的Web应用程序中,查看这些网页的用户就会被“黑”。在跨站请求伪造中,攻击者会欺骗用户的浏览器发出要求登录的请求。

  专家建议用户必须警惕跨站脚本攻击行为,攻击者可以利用各种已知或未知的漏洞强迫用户加载HTML代码,最终控制用户计算机并窃取用户信息。

  6、身份盗窃

  身份盗窃指通过假装为一个合法用户身份来进行欺诈,并从中获利。由于社交网络开放的信息,攻击者很容易即可获得被攻击者的姓名、出生日期、身份证号、电话等用户基本信息。我们不能忽视的现状是,大多数用户的密码往往都融入了用户的个人喜好或身份信息。攻击者利用这些信息可以暴力破解用户的口令,最终获取用户的网络身份控制。

  7、身份伪装

  公司信息化建设步伐的加快,使得公司组织架构、人员信息很容易被攻击者所掌握,这无疑给公司带来了潜在的威胁。

  您是否想过,以为新入职的员工突然收到一份老板的邮件,并声称“亲爱的XXX,欢迎您加入XX公司。请以您的用户名和密码登录本公司的内部网站,我们将根据您的信息更新配置文件。”

  也许您会觉得这样的威胁微不足道,但是对于公司人员流动快速的公司而言,这无疑是巨大的威胁,新员工在接到这样的邮件后,往往会不假思索的点击。

  专家指出,对付这种针对企业的身份伪装,必须加强员工的安全教育,规范企业的安全管理制度。

  互联网的高速发展,带给用户丰富的信息与便捷服务的同时,互联网也带来的新的安全威胁,面对这些威胁,您必须提高信息安全意识。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章