警惕社交网络安全风险

　　ZDNET至顶网安全频道 5月14日 编译：现在，社交网络可说是无处不在，开始社交网络可能只是年轻人的网络聚居地(比如Facebook一开始只限制大学生使用)，而现在社交网络上出现了各个年龄段的人群。繁忙的商务人士会使用LinkedIn社交网络，随时与业内的同行保持联系。IT专家们则在Google+上进行技术交流。而家庭主妇则通过Foursquare 查看当地的商店优惠信息。青少年则喜欢使用twitter来不断更新自己的状态。另外，13到103岁的网民都在使用Facebook。

　　因此，说犯罪份子也在社交网站上游荡，就已经不会令人感到惊讶了。这些网络人就好像是自然环境下的猛兽，总是盯着羊群中最弱小的成员。但是这个问题到底有多严重呢?是不是我们都应该尽量少登录社交网站呢?还是说企业应该禁止员工通过办公网络登录社交网站?在社交网络里有哪些常见的不法活动?如果非要投身到社交网络环境，怎么做才能避免自己和企业成为这些网络犯罪分子手下的受害者呢?这些问题都是我们将要在本文中探讨的问题。

　　“社交之毒”

　　对于网络犯罪，一些执法部门的官员好像更喜欢将责任归咎于网络或社交网站，而不是直接实施犯罪活动的犯罪分子。前段时间，美国缅因州的一个警官将Facebook称作为“社交毒瘤”，称缅因州大量的网络犯罪投诉都与Facebook有关。这令人不禁要想，如果有一天通过电话进行的欺诈活动有所增加，是不是警察们也要谴责电信公司呢?

　　另一个值得关注的是，在缅因州的网络犯罪投诉中，有相当一部分是与“网络欺凌”有关的。这就好比，在学校里会有高年级的学生欺负低年级学生的事件。如果是在校园里发生，不论对错，学校和家长都会私下解决此事，不会让政府部门介入。而自从网络出现，这种事儿在网络中也时常发生。然而直到最近，缅因州警方才开始重视这个问题。

　　在过去多年时间里，美国的很多州都出台法律，将欺凌行为定义为犯罪行为。比如，德克萨斯州在2011年出台HB 1942法，对欺凌行为进行了定义，对于欺凌行为的预防、识别、报告和应对措施都进行了详细规定。在美国，有一个叫做BullyPolice 的组织专门推动和游说政府进行反欺凌的立法工作。

　　社交网络让言行变得更加无所顾忌

　　最近调研公司Pew的调查显示出一个有趣的现象：在青少年群体中，社交网络能够促使他们与朋友之间变得更亲密，但同时也促使他们对待陌生人和不太熟悉的人的态度更加无礼。调查显示，在不同的种族，社会阶级或性别的人群中，欺凌行为有很大不同(但受害人并没有明显的类别区分)。

　　随着网络心理学这门学科的发展，对于网络行为的研究在心理学家和社会学家中变得越来越热。大部分人都知道，有些话只能在网络中说，而在现实生活里却绝对不会说(或者做某些事)。当然，这些话或者行为还没到犯罪的程度。但是，互联网沟通这种无法进行物理接触以及某种程度的匿名(表面上的)的沟通方式，会自然的降低人们对自己某些行为的控制能力，尤其是有些人在酒精的麻醉下，或者本身就具有犯罪倾向心理，在网络上与他人交流时很容易出现不良的行为。

　　社交网站上的暴力或威胁行为

　　虽然得到了大量的关注，但网络欺凌行为并不是社交网络上出现的唯一犯罪活动。其它与社交网络有关的犯罪活动还包括人肉搜索和骚扰。这种犯罪行为会直接对受害人的生活造成影响。而其产生的原因可能是因为某人对另一个人的“爱”太深，或者是由于受害人之前的某种过错伤害到了某人，于是遭到了某人的报复，有时几种原因是混在一起的。但不论是何种原因，这些行为很可能已经触及了法律的边缘。

　　一般来说，在互联网上，尤其是在社交网络上可以更容易的追踪到某人，知道某人是否搬家或出行，是否在刻意回避自己。而在现实世界中，这种追踪行为需要付出更大的精力，而真正要去面对对方时，从逻辑上讲可能也是更困难的，也会涉及到更多的风险(比如被捕或对方的强烈反抗行为)。通过社交网络，追踪者甚至不需要离开自己温暖舒适的房间，而且可以很容易通过虚假的名字或共同好友方式，成为被追踪人的好友，让追踪变得更简单。

　　但是这种虚拟世界的犯罪并不只局限于与被害人存在一定关系的人群中，有些犯罪分子与受害人之间可能从来没有任何联系，而这种网络犯罪行为更常见，甚至都有了一个专门的名字：“喷子”。这个名词最早可以追溯到互联网出现的早期。网络上的讨论经常会涉及有争议的内容，比如政策、性、宗教、财富以及其它“热点问题”。有些人会对某个观点持很强硬的态度，而每个人之间的意见分歧又很大。最后讨论变成了辱骂和人身攻击。当出现人身威胁时，这种讨厌的网络行为就会变成违法行为。

　　在互联网早期，讨论一般在邮件列表或usenet新闻组等环境展开。由于参与的人数相对固定，因此大家慢慢都相互认识了(偶尔也会有新人或马甲出现，挑点事儿吵吵架，过段时间就消失了)。而如今的社交网络完全是另一种氛围。在某些方面，讨论变得更文明了。这从某个角度讲，部分上是归功于大部分社交网站都要求用户必须实名登记。

　　而另一方面，社交网站也存在着网络所特有的功能，即给我们提供机会认识新朋友。我们会经常看到某个朋友在评论其他好友的好友所发的帖子，而后者我们并不认识。这类人对于我们来说可能“并不是一个真实的人”，但是他又不同于其他的网络实体，因此我们会发现自己很快就开始与这些人聊得火热。由于我们并不认识这些人，也不知道他们到底是真的喜欢讨论问题，还是会在你说错某句话的时候对你大发雷霆，甚至出言威胁，当然，也可能你是那个出言威胁对方的人，这样犯法的就是你了。因此，你在网络上一定不能假定“我好友的好友，就是我的好友”。

　　犯罪行为围绕金钱展开

　　在“网络行为导致现实世界的暴力犯罪”已经被大众所关注之后，社交网站也应该为其它犯罪行为做好准备，其中大部分犯罪行为都是与金钱有关的。那些发送钓鱼邮件的网络犯罪分子，现在也开始在社交网站上寻觅猎物了，他们会广泛的加好友，然后利用这种“友谊”实施进一步的犯罪行为。一旦他们成为了你的核心好友，就开始想方设法来欺骗你。比如会向你发送大量信息，推荐各种产品和服务，或者向你推荐某个能发财致富的投资机会，甚至捏造事实，说自己得了重病要进行治疗，或者家里遭了灾，向你索取捐助。由于这些消息都是来自于“好友”的，因此人们一般不会将其看做是广告信息或欺诈信息，因此更容易上当受骗。

　　有些犯罪分子更可耻。他们会使用社交网站了解到受害人的居住地(如果你在社交网站上公布了你所居住的城市、区县或街道，他们就能够通过当地的政府税收网站，利用你的姓名查询到你的具体住址)。之后，他们会随时监视你的情况，包括账单，税收等等，还会通过社交网站知道你全家都外出度假了。于是他们就会来到你家，把整个屋子洗劫一空。他们甚至在进入你家之前就知道你大概有哪些财产，以及他们大致放置的位置。因为这都可以通过你在社交网站上发布的图片和信息获知。

　　另外，他们还可以通过社交网络获取受害人的个人信息，比如证件号码，社保号码，驾照信息等，从而利用这些信息办理信用卡或以受害人的身份进行其他金融活动。他们还可以以受害人的身份向受害人的好友发送诈骗信息，还可以模仿受害人的上网行为，因为他们知道受害人喜欢在社交网站上分享哪些内容，知道受害人的长相，学校的名字和位置，受害人的宗教信仰和政治观点，喜欢的和不喜欢的事情等各种信息。而这些信息能让受害人的朋友误认为所联系的人就是受害人本人。

　　社交网站成为恶意软件扩散渠道

　　犯罪分子会通过社交网络散布各种恶意软件，包括病毒、间谍软件，以及其它隐藏恶意代码的程序。这些程序都很容易导致系统死机，网络拥塞，窃取个人信息等情况出现。虽然很大一部分犯罪分子都是出于经济目的，但是还有一些纯粹是为了破坏通信、制造损失或者导致受害人工作生活不便。一般来说，犯罪分子会用虚假的身份信息注册社交网站，并发布恶意链接。受害者在点击链接后，访问网站时就会自动下载恶意程序。

　　由于社交网站的技术不断进步，犯罪分子们也可以和合法用户一样充分利用这种技术上的便利性。比如在状态更新中嵌入链接，或者直接开发社交网站的第三方应用程序或游戏来散播恶意软件。

　　和以前的钓鱼邮件相类似，犯罪分子在社交网站上也需要通过一些特殊事件或新闻来吸引受害人点击他们提供的链接。比如，利用像本拉登被击毙这样的热点新闻事件进行散播恶意软件的行为。

　　社交网站用户如何保护自己

　　最简单的答案就是彻底远离社交网站，而且已经有一些用户开始实行。但是，社交网站确实提供了很多传统互联网无法提供的功能和优势，而且社交网络也越来越成为一种朋友和家人相互联系和沟通的标准方式，甚至商业伙伴也在通过这种方式相互联系。因此，如果能够遵循以下原则，将可以使社交网络的风险降到最低：

　　· 检查安全设置。确保你的账户信息的安全设置是遵循最佳安全性原则的。将个人信息仅限于好友能够查看，或者只把某几项公开给陌生人，而且这几项内容不应该包含个人敏感信息。

　　· 定期检查自己的安全设置。由于社交网站可能会进行更新或升级，导致某些安全设置被重置为更加“开放”的默认状态。因此要定期检查一下自己账户的安全设置，确保所有安全选项都不会泄露重要的个人信息。

　　· 慎重选择好友。不要接受所有的好友请求。成为“万人迷”并不意味着安全。一般来说，可以将那些你在现实生活中认识的人列为好友，或者在网上有其它固定联系渠道的网友加为好友。不要以为有共同好友的人就一定会是安全的。因为你的朋友里肯定会有那种对所有加好友请求来者不拒的人。

　　· 不要在好友的状态更新栏或消息里点击任何可疑链接。不要觉得是某个朋友发来的链接，就一定是安全的。可能你的朋友也不知道那个链接会带有恶意软件，或者你的朋友已经被感染了，这些信息都是恶意软件冒充你的朋友自动发送的。

　　· 企业应该限制社交网络的访问，如果社交网站对于企业的业务有帮助，可以限制某些部门的人来使用。