"橫霸霸"

2010年8月24日 星期二

為您揭露攻擊者最陰險的七大黑技

2008-11-11 11:02 來源:51cto 作者:落英繽紛

  如今,逢此“資訊就在指尖”的互聯網時代,不少人都擁有自己的電子郵件、QQ號碼、MSN等與親朋好友聯系的通信工具,更有許多人在社交網站上註冊了自己的賬號,這無疑會極大地方便我們的工作與生活。但隨著利欲熏心的不法之徒盯上社交網路,普通的用戶在上網時便面臨著巨大的“被黑”風險。

  社交網路重點在於構建有著共同興趣和活動的人們的在線社團,它也可以是對探索別人的興趣和活動感興趣的人員集合。許多社交網路是基於Web的,並可向用戶提供互動的機會,如在文章開頭所談到的電子郵件和其它即時通信服務。

  社交網路的最大危險性在於損害個人的身份資訊及其它資訊。它可能會導致你的相片被發到某個成人網站,抵毀你的形象。也可能會導致你的網上銀行卡的機密資訊被人竊取,還有可能在不知不覺之間將公司的商業機密“大白於天下”!

  不要對此掉以輕心了,不要覺得這種事情不會發生在你或你的公司身上。社交網路是網路釣魚者、垃圾郵件製造者、僵屍網路控制者、公司間諜謀取利潤的重要陣地,如果對其使用不慎,它甚至可輕易地葬送公司或個人的命運。

  問題的根源在於社交網路站點本身並不安全。一般情況下,這種站點並不對用戶進行鑒別,用戶無法完全確認在線的所謂友人的身份,而攻擊者可以輕易地利用社交網路內的“可信任的”文化,從中大塊朵頤。但是,許多用戶並未啟用或部署這些站點所提供的某些安全和私密選項。

  例如,社交網路應用程式開發工具,如OpenSocial,還有一些第三方的工具可輕易地被攻擊者利用傳播惡意軟體或洩露個人私密資訊。此外,還存在著公司間諜的真實風險,攻擊者可以輕易地利用網路僱員的資訊實施其它攻擊。而且,有些流行的Web攻擊方式,如跨站腳本攻擊,也可被用於對付社交網路的成員。

  千萬不要因為你禁止家庭住址、電話號碼等私有資訊而沾沾自喜,因為這樣並不能使你免受安全威脅。在網際網路上並沒有什麼真正的私密。用戶只能延緩資訊被洩露的風險。用戶需要將整個網際網路看作是一個所有資源都永存的平台。

  針對社交網路的攻擊才剛剛開始,因此在發佈個人資訊時請三思而後行,或者在接受並信任新的朋友時需要加倍謹慎。隨著攻擊者日益關注社交網路,其攻擊將更加嚴重。事實顯示出,社交網站已成滋生網路攻擊的溫床。

  孫子說,知彼知已,百戰不殆。要對付社交網路攻擊,先要對付這種攻擊,下面筆者談談攻擊者最陰險的七大社交網路“黑技”:

  一、身份假冒及針對性的個人資訊攻擊

  二、製造垃圾郵件和僵屍網路

  三、被改造的社交網路應用程式

  四、個人資訊與專業資訊的交叉混雜

  五、跨站腳本攻擊或跨站請求偽造

  六、身份竊取

  七、公司間諜

下面逐個談談:

  一、身份假冒及針對性的個人資訊攻擊

  不要認為安全專家們沒有受到社交網路威脅。近年來的社交網路攻擊日益廣泛深入,許多社交網站的個人資訊被發佈到了其它網站上,這說明即使是專家也有可能無法倖免於難。作惡者可以借個人身份資訊威脅受害人,如將其相片發到網路上。

  如果社交網站的成員快速更新了自己的所作所為,或者對多個“跟隨者”作出了注釋,那麼這簡直就是在將其它的因素引入到社交網路安全中,即物理安全。也許你並沒有跟別人說自己是誰、在什麼地方,但這並不能阻止別有用心的傢夥知道你的資訊。

  例如,將個人的太多資訊(如出行資訊或旅行計劃等)散佈到網路上,可能會導致入室行竊等的發生。由此可見,這會導致嚴重的物理安全問題。因此人人都不要輕易地將自己的資訊發佈到社交網站上。

  正如哈密爾和摩爾在黑帽大會上所演示的那樣,用戶甚至不必擁有要攻擊的社交網路的配置資訊,也不必擁有賬號,就可將他人的照片發送到網際網路上,並穫取在線的資訊,構建令人深信不疑的資訊。

COMODO Internet Security v3.14.130099.587 繁體中文版 目前唯一一款免費的防毒軟體、防火牆與防護盾三合一網路安全套裝軟體!

  二、製造垃圾郵件和僵屍網路

  垃圾資訊製造已經成為一種巨大的產業,廣告、按一下性欺詐、僵屍網路需要有效地傳播其消息、惡意軟體(或二者兼而有之)的一種機制。攻擊者早已經如蛆蟲一樣進入了社交網路社團,劫持用戶賬戶,並使用其地址簿傳播垃圾郵件、蠕蟲或其它的惡意軟體。

  可以看出,越來越多的惡意軟體被作為附件放在了垃圾郵件中。在國外著名的社交網站中可以清楚地看到這一點。這種郵件的特點是將不明真相的人吸引到“特殊的”網頁中,如引誘用戶點擊一個精彩的視訊鏈結,而其實際上這是一個特洛伊木馬的下載鏈,它會偷偷地將惡意軟體下載到用戶的電腦上,並將此電腦變為僵屍網路的成員。

avast Free Antivirus v5.0.594.0 繁體中文免費版 歐洲被稱為唯一能與NOD32媲美的防毒軟體

  三、被改造的社交網路應用程式

  用戶們並沒有過多地考慮將應用程式裝設到其瀏覽器中的問題,不過,這些應用程式可能會穫得訪問用戶系統的能力,而用戶的一些極私密的資訊可能存儲在其自身的系統中,其危險性顯而易見。不過,總有一些用戶認為裝設這些應用程式沒有什麼了不起。

  這使得第三方的應用程式成為攻擊者的一種簡易工具。此外,第三方的應用程式服務還使得基於代碼的攻擊穫得了途徑。

  但並不是說所有的社交網路虛擬工具都是惡意的。如開放性社交網站opensocial向工具的開發人員提供了在其應用程式中限制惡意JavaScript的選擇,但不熟練的開發者卻不知道如何使用這些手段。這只是一些可選項,很少有開發者使用這種工具。最終結果是,對安全不敏感的開發人員可以構建應用程式,而其傳播速度也會如枯草上的野火一樣迅猛。

Mozilla Firefox v3.6.6 繁體中文版 全功能的瀏覽器

  四、個人資訊與專業資訊的交叉混雜

  即使用戶將A社交網站的賬戶資訊用於私用,而將另外一個社交網站的賬戶用於專業性網路,這也無法保證前者的圖片不會出現在後者的賬號中,甚至“跑”到波士的郵箱中。不妨考慮一下開放性的社交網路,不管是圖片還是工作經歷,都可以成為到處複製、貼上的對象。
  五、跨站腳本攻擊或跨站請求偽造

  跨站腳本攻擊及跨站請求偽造漏洞是很顯明的攻擊工具,有一些社交網路蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數社交網路擁有對付跨站腳本攻擊的機制。而跨站請求偽造則尚未流行起來。

  跨站腳本攻擊和跨站請求偽造對社交網路站點並未造成巨大的風險。在跨站腳本攻擊中,惡意的代碼被注入到有漏洞的Web應用程式中,查看這些網頁的用戶就會被“”。在跨站請求偽造中,攻擊者會欺騙用戶的瀏覽器發出要求登錄的請求。

  要知道,在任何時候,攻擊者都可以強迫用戶載入HTML代碼,其潛在的威脅是攻擊者透過XSS/CSRF利用瀏覽器的漏洞、感染僵屍網路、並可操縱用戶賬戶。

  跨站請求偽造攻擊可以在多個社交網路站點之間跳轉,而在用戶不斷登錄之時,這種攻擊能夠從一個社交網路傳播到另外一個網路。從總體上看,跨站請求偽造攻擊是一種被人們忽視的駭客行為。
  六、身份竊取

  簡言之,身份竊取指透過假裝為另外一個人的身份而進行欺詐、竊取等,並穫取非法利益的活動。社交網路的資訊可透露一些頗有價值的內容,如受害者的姓名和出生日期。身份竊賊們可以用這些資訊猜測用戶的密碼或模倣這些用戶,並最終竊取其身份。

  社交網路的用戶有時在不經意間將自己的資訊拱手讓給他人,他們可能將自己的郵件地址、出生日期、電話號碼等交給並不熟悉的所謂“網友”。

  我們對社交網路用戶的一條忠告是,不要回答網站提交的全部問題,或者不要提供自己真實的出生日期。用戶不必告訴網站自己真實的教育背景、電話號碼等,還要想方設法讓竊賊得到錯誤的其它敏感資訊。

SpywareBlaster v4.3 英文免安裝版 打一針瀏覽器安全疫苗,預防間諜、惡意入侵

  七、公司間諜

  公司間諜活動在網際網路平台日益發展壯大的背景下也有增無減,僱員的個人資訊也有可能使公司招致公司間諜風險。

  例如,為了實施釣魚攻擊,攻擊者所做的是在社交網路站點上搜尋公司的僱員,然後襬出一副公司波士或領導的姿態,如以人力資源部領導的身份出現,並向僱員發送電子郵件,如:“親愛的某某,恭喜你加入本公司。請按一下下面的鏈結訪問本公司的內網,並以你正常的用戶名和密碼登錄,我們將根據你的資訊更新設定檔案。”尤其要注意的是,剛來公司上班的新人有可能會遭到這樣的欺騙。

  對付這種間諜行為的唯一辦法是告訴僱員要限制所公開的資訊,並不要將僱主或波士的名字透露出去,這可以減少透過僱員攻擊公司領導及公司的機會。

  總之,僱員需要知道,你在社交網路上與不法之徒也許僅有一步之遙。要明白:在社交網站上總有一些駭客在搜尋你的資訊。與我們互聯的不僅僅是朋友,還有可能是豺狼。所以請謹慎地透露你的資訊。

SpyBot-Search and Destroy 1.6.2.46 多國語言綠色正式版 專門用來清理間諜程序的工具

Share/Bookmark

沒有留言: