当前位置:操作系统 > 玩转网络 >>

黑客与社交网站的“故事”

  个人的身份信息受到侵害的最大地方就是社交网络。你真实个人相片被转帖到某个成人网站,损毁你的形象。还能导致你的网上银行卡的机密信息被人窃取,最厉害说不定会在不知不觉之间将公司的商业机密“大白于天下”!所以不要对此掉以轻心了,千万要认为这样的事不会发生在你或你的公司身上。社交网络是网络钓鱼者、僵尸网络控制者、垃圾邮件制造者、公司间谍谋取利润的重要阵地,如果稍有使用不慎,会将公司或个人的命运毁于一旦。主要是社交网络站点本身并不够安全。一般情况下,这些站点并不会用户进行鉴别,导致用户根本无法完全确认在线的所谓好友的身份,而攻击者就可以利用社交网络内的“可信任的”文化,从中大块朵頤。但是,许多用户并未启用或部署这些站点所提供的某些安全和私密选项。下面笔者浅谈一下攻击者常用的“黑手段”:

    1、个人身份信息被盗

  2、垃圾邮件和僵尸网络繁乱

  3、万象的社交网络应用程序

  4、个人身份信息被窃取/用

  5、跨站脚本攻击或跨站请求伪造

  下面逐个谈谈:

  1、个人身份信息被盗

  近年来的社交网络攻击日益广泛深入,许多社交网站都要求将个人信息被发布到该网站上,就算是专家也有可能无法幸免于难。作恶者可以借个人身份信息威胁受害人,如将其相片发到网络上。

  例如,将个人的太多信息(如出行信息或旅行计划等)散布到网络上,可能会导致入室行窃等的发生。由此可见,这会导致严重的物理安全问题。因此人人都不要轻易地将自己的信息发布到社交网站上。


  2、垃圾邮件和僵尸网络繁乱

  现在的黑客早已经如蛆虫一样潜入了社交网络社团,劫持用户账户,并使用其地址簿传播垃圾邮件、蠕虫或其它的恶意软件。垃圾信息制造已经成为一种巨大的产业,广告、单击性欺诈、僵尸网络需要有效地传播其消息、恶意软件(或二者兼而有之)的一种机制。

  可以看出,越来越多的恶意软件被作为附件放在了垃圾邮件中。这种邮件的特点是将不明真相的人吸引到“特殊的”网页中,如引诱用户点击一个精彩的视频链接,而其实际上这是一个特洛伊木马的下载链接,它会偷偷地将恶意软件下载到用户的计算机上,并将此计算机变为僵尸网络的成员。

    3、万象的社交网络应用程序

  很多用户并没有考虑将应用程序安装到其浏览器中的问题,但是,这些应用程序也许会获得访问用户系统的权利,而用户的大多数私密的信息基本都存储在其自身的系统中,其危险性是显而易见的。不过,还有部分用户认为安装这些应用程序并没什么。

  这让第三方的应用程序便成为攻击者的一种捷径工具。此外,第三方的应用程序服务还使得基于代码的攻击获得了途径。

  但所有的社交网络虚拟工具并不都是恶意的,就需要大家自身辨别了,祝各位好运喽!

   4、个人身份信息被窃取/用

  身份窃取就是指自身假装为另外一个人的身份而进行欺诈、窃取等行为,并获取非法利益的活动。在社交网络的信息透露了太多颇有价值的内容,比如受害者的姓名、出生日期、手机电话和家族住址等详细信息。“黑手”就能利用这些简单信息来判断用户的口令或模仿这些用户,并最终窃取其身份。

  希望大家不要轻易回答网站提交的全部问题,也不要随随便便提供自己真实的出生日期、真实的教育背景、电话号码等,还要想方设法让窃贼得到错误的其它敏感信息!

  5、跨站请求伪造或者跨站脚本攻击

  跨站脚本攻击和跨站请求伪造漏洞是非常显明的攻击工具,很多社交网络蠕虫巧用跨站脚本攻击漏洞帮助其传播。不过多数社交网络都拥有对付跨站脚本攻击的防御机制。而跨站请求伪造则尚未流行起来。

  跨站脚本攻击和跨站请求伪造对社交网络站点也并没有造成巨大的风险。在跨站脚本攻击中,恶意的代码就会被注入到有漏洞的Web应用程序中,当用户查看这些网页时就会被“黑”。在跨站请求伪造中,攻击者会欺骗用户的浏览器发出要求登录的请求。

  不管在什么时候,攻击者都能强迫用户加载HTML代码,其潜在的威胁是攻击者通过XSS/CSRF利用浏览器的漏洞、感染僵尸网络、并可操纵用户账户。

  跨站请求伪造攻击它能在很多社交网络站点之间跳转,当用户不断登录时,这种攻击能够从一个社交网络传播到另外一个网络。从总体上看,跨站请求伪造攻击是一种被人们忽视的黑客行为。

   总结:在社交网站上总会有一些黑手在搜索你的信息,与我们互联的不仅仅是朋友,还有可能是豺狼,所以请谨慎地透露你的个人信息。

 

 

本文站长资源库 版权所有,未经批准转载必究。

CopyRight © 2012 站长网 编程知识问答 www.zzzyk.com All Rights Reserved
部份技术文章来自网络,