社交網(wǎng)絡(luò)在個人生活中深刻地改變著我們的行為方式，也在轉(zhuǎn)變個人職業(yè)生活方面扮演著重要的作用。在商業(yè)活動中社交網(wǎng)絡(luò)也將發(fā)揮著越來越很重要的影響力。不過社交網(wǎng)絡(luò)也不是萬能的，社交網(wǎng)絡(luò)具有高風(fēng)險性。由于社交網(wǎng)絡(luò)吸引了眾多用戶的青睞，黑客也就打起了社交網(wǎng)絡(luò)的鬼主意，尤其是在近年來，社交網(wǎng)絡(luò)已經(jīng)成為黑客攻擊最重要的目標(biāo)之一。

社交網(wǎng)絡(luò)：堵還是疏？

根據(jù)Palo Alto Networks，下面我們列出企業(yè)在制定規(guī)則的時候必須考慮到的社交網(wǎng)絡(luò)的十大威脅/風(fēng)險。

1、社交網(wǎng)絡(luò)蠕蟲

根據(jù)研究，社交網(wǎng)絡(luò)蠕蟲比如Koobface這類已經(jīng)成為Web 2.0時代最大的僵尸網(wǎng)絡(luò)。這種具備多方面威脅的Koobaface等蠕蟲病毒對傳統(tǒng)“蠕蟲”的定義提出了挑戰(zhàn)。比如Facebook、mySpace、Twitter、hi5、Friendster和Bebo等社交網(wǎng)絡(luò)，在某種程度上為僵尸網(wǎng)絡(luò)的擴(kuò)充提供了用戶基礎(chǔ)，它們可以借由攻破用戶帳號來大量發(fā)送垃圾郵件給更多的主機(jī)。同時，他們還會使用傳統(tǒng)的僵尸網(wǎng)絡(luò)來威脅社交網(wǎng)絡(luò)。

2、網(wǎng)絡(luò)釣魚

還記得FBAction嗎?這封郵件會誘使你注冊Facebook，并引導(dǎo)你登錄到一個名叫fbaction.net的網(wǎng)站，該網(wǎng)站設(shè)計和Facebook堪稱完全一樣。雖然只有一小部分的Facebook用戶遭受攻擊，但相對于其用戶數(shù)量超過3.5億來說，受影響的用戶數(shù)量絕對不小。值得稱道的是，F(xiàn)acebook反應(yīng)迅速加強(qiáng)了監(jiān)控?！acebook雇請的網(wǎng)絡(luò)安全公司成功地干掉了這個假網(wǎng)站，但另外一個假網(wǎng)站FBStarter.com馬上又跳出來，繼續(xù)騙人。安全公司認(rèn)為，這表明是黑客是“集團(tuán)作案”。雖然使用的技術(shù)不是最新，但其創(chuàng)造性和速度卻顯示出他們很有經(jīng)驗，有機(jī)會還會繼續(xù)搗亂。

3、木馬

社交網(wǎng)絡(luò)已經(jīng)成為木馬泛濫的一個重要場所：

ZeuS——ZeuS木馬是一種傳染性非常強(qiáng)的計算機(jī)威脅，在全球各地的計算機(jī)上都能夠看到它的身影。由于ZeuS木馬易于傳播，并且能夠非常方便地竊取受感染用戶的在線數(shù)據(jù)，使得ZeuS木馬成為互聯(lián)網(wǎng)黑市上銷售量最高的間諜軟件之一。此木馬能夠幫助網(wǎng)絡(luò)罪犯獲取計算機(jī)用戶上任何有價值的信息，不管是某個賬號的登錄名、密碼，還是瀏覽器記住并在自動完成字段填入的各種數(shù)據(jù)。

URL Zone——也是一種銀行木馬，但更智能更具有破壞力。它能分析受害用戶的價值以幫助決定竊取用戶信息優(yōu)先級。

4、數(shù)據(jù)泄露

社交網(wǎng)絡(luò)主旨意在網(wǎng)絡(luò)分享。不幸的是，很多社交網(wǎng)絡(luò)上的用戶透露過多關(guān)于其所在機(jī)構(gòu)的信息——工程項目、產(chǎn)品、財務(wù)狀況、公司重大事項和其他敏感信息。

5、短網(wǎng)址

用戶喜歡用URL縮短服務(wù)（比如bit.ly和tinyurl）以解決網(wǎng)址過長的問題。黑客正好也利用這一URL縮短服務(wù)來迷惑用戶，讓受害者相信他們所訪問的不是惡意網(wǎng)站。URL縮短服務(wù)在技術(shù)上很容易實現(xiàn)而且無處不在。很多Twitter客戶端都會自動縮短訪問鏈接。甚至夫妻一方會過多透露其配偶為了某項絕密計劃而深夜加班趕進(jìn)度的信息。

6、僵尸網(wǎng)絡(luò)

去年年底，安全專家披露了Twitter帳號被用作指揮和控制某些僵尸網(wǎng)絡(luò)的非法渠道。一般的指揮和控制渠道是IRC（Internet Relay Chat），但有些人會使用其他一些應(yīng)用程序——P2P文件共享來實現(xiàn)。后來Twitter關(guān)閉了這些被用來指揮控制僵尸網(wǎng)絡(luò)的帳號，但也給受感染主機(jī)訪問Twitter的提供了便利。

7、高級持續(xù)性威脅

高級持續(xù)性威脅（Advanced Persistent Threat，APT）是黑客入侵系統(tǒng)的一種新方法。它是一種高級的、狡猾的伎倆，高級黑客可以利用 APT入侵網(wǎng)絡(luò)、逃避“追捕”、隨心所欲對泄露數(shù)據(jù)進(jìn)行長期訪問。這意味著用戶所面臨的攻擊和威脅將是長期的、持續(xù)的，因此對于機(jī)構(gòu)而言必須時刻保持“戰(zhàn)備”狀態(tài)，這是十分必要的。這是一場不會結(jié)束的戰(zhàn)爭。APT極其狡猾、隱匿，這預(yù)示著機(jī)構(gòu)很可能在幾個月內(nèi)持續(xù)遭受入侵，卻渾然不知。

8、跨站請求偽造

它并不是一種具體的威脅形式，看起來更像是傳播社交網(wǎng)絡(luò)蠕蟲的伎倆。CSRF（Cross-site request forgery跨站請求偽造）利用騙取社交網(wǎng)絡(luò)程序的方式來攻擊已登錄用戶的瀏覽器。CSRF是一種依賴web瀏覽器的、被混淆過的代理人攻擊（deputy attack），攻擊通過在授權(quán)用戶訪問的頁面中包含鏈接或者腳本的方式工作。風(fēng)險在于那些通過基于受信任的輸入form和對特定行為無需授權(quán)的已認(rèn)證的用戶來執(zhí)行某些行為的web應(yīng)用。已經(jīng)通過被保存在用戶瀏覽器中的cookie進(jìn)行認(rèn)證的用戶將在完全無知的情況下發(fā)送HTTP請求到那個信任他的站點(diǎn)，進(jìn)而進(jìn)行用戶不愿做的行為。使用圖片的CSRF攻擊常常出現(xiàn)在網(wǎng)絡(luò)論壇中，因為那里允許用戶發(fā)布圖片而不能使用JavaScript。

9、身份偽造

身份偽造（Impersonation）：指攻擊者偽裝自己成為一個授權(quán)用戶以獲得未授權(quán)訪問。身份偽造屬于破壞保密性的威脅。大部分身份偽造的人不會散播惡意程序，不過也不排除小部分受攻擊帳號會被用作此類用途。

10、信任

幾乎大部分威脅的共同之處都在于獲得了用戶對社交網(wǎng)絡(luò)應(yīng)用程序的充分信任。比如電子郵件，當(dāng)它成為主流或者無處不在的即時信息時，人們都會相信這些來自“朋友”所提及的網(wǎng)站鏈接、圖片、視頻和可執(zhí)行文件的合法性。

【編輯推薦】

1. 小技巧：防僵尸網(wǎng)絡(luò)威脅
2. 穩(wěn)建構(gòu)造封殺六種網(wǎng)絡(luò)威脅