This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢:防毒、防駭、防木馬、防殭屍網路、防網路釣魚攻擊和資料外洩防護 會員登入 會員註冊

.

[推到Plurk]            [推到Twitter]           [推到 Facebook]

« 上一篇 | 下一篇 »

25 十二月, 2009 07:59

[ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片,駭客卻記得

由 崔嘻 發表於 [ 社交網站 , 網路安全小百科 ]
(1781) 閱讀(0) 引用(0) 回應 推文( 0 )

作者:趨勢科技資深威脅研究人員David Sancho

 

 社交網站是設計用來做為人類互動的網站。它們讓使用者互相認識,與其他使用者保持聯絡,分享經驗,感情與意見。這些網站皆是依據一個共同的基礎而設立的,即根據互信的元素來建構聯絡網路。使用者接著為朋友們製作內容,並取得朋友們製作的內容。內容涵括了如節慶家庭照片,趣味的聯結,最新的新聞,意見,評論及現況的狀態更新。

當其中一到多個聯絡人破壞的這個互信的小圈子時就產生了潛在的不詭和惡意活動。當這樣的情形發生時會產生很多不良的結果,如

   你的聯絡人帳戶遭入侵被受其他人使用。

   你將某個你以為認識的人加入網路中,而事實上你並不認識這個人。

   你將某個你以為可以相信的人加入網路中,而事實上這個人並不能被相信。

   未使用足夠的隱私管控造成你的資料和你無意與他們分享的人做分享。

本系列文章將概括是使用社交網路最常見的攻擊,並建議降低風險的方法。報告的目的不在阻止你使用,而是讓你能更安全地去運用社交網路。

社交網路蘊含了豐富的個人資料。人們在其中分享了他們的生日,電子郵件帳號,住家地址,家庭關係與照片。這些資料本身或許沒有什麼價值,但會清楚地提供關於一個人的一切,讓攻擊者取得進行如信用卡詐欺或身份竊盜等攻擊所需要的資訊。任何以真人為受害者對象的攻擊皆會因此類額外資訊的取得而更加有效。

除此之外,地下論壇也販賣個人資料。你的資料會被收藏儲存在網路中某個陰暗的角落,等著罪犯們付費收購。罪犯可利用這些資料來取得出生證明、護照及其它文件來捏造出真實身份。有些國家這部份的管控比其他國家鬆散,但整體而言,身份盜竊已是常態發生的事件了。

犯罪份子們感到興趣的資料包括電子郵件帳號位址,實體地址(住家或通訊地址),生日和有關組織:

l          電子郵件帳號會被輸入至資料庫中,以便日後運用在垃圾郵件的散發。從社交網路處取得的電子郵件帳號會被更進一步的分類,如人種,年齡,國別或其它可做為篩選標準的資料以增進攻擊的衝擊度,使售出價格比一般電子郵件帳號更高。電子郵件帳號對魚叉型釣魚攻擊尤其有價值,常被用來做為發送郵件的寄件者。魚叉型釣魚攻擊是一種目標集中的釣魚攻擊,因此使用“好友”名單會增加惡意郵件的可信度從而為罪犯提高成功機率。

l          實體地址通常會在社交網站上分享,這些同樣也會被累積到郵寄資料庫中,以與上述相似的手法做為廣告用途使用。

l          TrendLabs研究人員曾報導,個人資料的售價範圍從每筆銀行帳戶憑證叫價美金50元到每百萬筆電子郵件帳號只要美金8元不等。 後者這個金額有可能更高,只要這些郵件是來自社交網站的最新郵件帳號[1]

l          不同的公司會在電話上使用生日來確認來電者的身份。犯罪份子們雖然沒有生日的資料庫,但備有工具可從社交網站中自動進行“生日”搜尋。這證明了生日的資料仍有其需求,做為進行特定類型詐騙的補助資料。

l          另一個讓大量資料洩露情況惡化的潛在因素是使用者個人資料的公開。當使用者讓自己在社交網站上的個人資料可在不經登錄的狀況下即可取得時,這些資料可在搜尋引擎或其它資料庫中被索引標示出。社交網路搜尋引擎可搜尋特定區域中所有可被取得的資料內的任何一個名字。這讓跟蹤者,詐騙犯或其他攻擊者輕鬆很多。不只Google和其它居心不良者在搜集這些唾手可得的公開資料,還有一些超級搜尋引擎,如pipl.com就是為了搜尋社交網站和其它來源上的資料而特別設計出的,收集的資料從你的姓名和你朋友的姓名,甚至包含3年前至今所有你可能都已經忘記自己在線上張貼的生活照

20097月,一名英國政府高官的妻子在社交網站上張貼了個人資料。此舉引來了高度注意的原因不是因為內容的機密性,而是因為欠缺對自己線上內容會被取得的警覺性。同時還有另一個問題,那就是一但將任何照片張貼後,你就失去了對照片的控制,因為其他人會汲取並將照片重貼在你不知道的地方。在這個案例中,首批將這位夫人所分享的家庭照片重新張貼的是新聞網站。[2]

值得一提的是,公司的人力資源部門已經將社交網站上公開的個人檔案運用來做為認識工作申請人的資料來源。某個線上聘僱網站報導,20%的僱主使用社交網站來搜尋工作申請者的資料,68%的則使用如GoogleYahoo!等之搜尋引擎來檢視申請者[3]。雖然這樣的做法並不算非法,但在道德上則相當受質疑。

(待續….

英文版:A Security Guide to Social Networks

http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/security_guide_to_social_networks.pdf (社交網路安全指南)

參考網址:

[1] http://us.trendmicro.com/us/trendwatch/current-threat-activity/underground-economy/index.html

[2] http://www.dailymail.co.uk/news/article-1197562/MI6-chief-blows-cover-wifes-Facebook-account-reveals-family-holidays-showbiz-friends-links-David-Irving.html
(從英國情報局夫人在 Facebook 帳號談起)

@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪

更多社交網站文章,按這裡

 
 
發表回應

 暱稱 (必填)

 標題

 個人網頁

 電子郵件

authimage 
 認證碼 (必填)