现在相当长一段时间,网络钓鱼一直是恶意黑客从用户那里收集允许他们渗透系统的信息的首选方法。社交网络的激增正在使他们的工作变得更加容易; 可以获得甚至经常公开大量的个人资料,照片,视频,想法和任何类型的帖子。设计网络钓鱼攻击不仅使用可用或请求的信息,也使用流氓应用程序和Web浏览器漏洞:恶意ad-hoc社交媒体应用程序或包含恶意有效载荷捕获私人详细信息的虚假站点。任何社交网络用户都可能成为钓鱼计划的受害者。
钓鱼者为什么针对社交网络?在“纽约时报” 2017年5月的的一篇文章中,报道说俄罗斯黑客对五角大楼的官员进行了一次成功的网络钓鱼尝试,该官员点击了一篇详细介绍一个适合家庭的度假套餐的Twitter文章,这一事件表明,“虽然世界各地的公司和政府机构都在培训他们的员工在打开任何通过电子邮件发送的东西都要三思而后行,但黑客已经转向了一种新的攻击,针对社交媒体帐户,在那里人们更倾向于“信任”。在Twitter和Facebook这样的网站上,人们认为自己是处在朋友之间,并获得虚假的安全感,促使他们点击链接从而轻松泄漏信息,这种情况在处理私人或工作电子邮件时永远不会发生。
到目前为止,社交网站已经彻底改变了人们在个人和职业生活中与他人沟通的方式。为了继续浏览和使用影响我们日常活动的一部分社交媒体,提高意识是非常重要的,学习应用一些简单而有效的安全措施来共享,发布和避免数字戏剧,如commonsensemedia.org所指。
鱼叉式钓鱼者通常非常容易找到用户在社交网络配置文件中公开提供的信息,然后应用各种社会工程技术。根据2006年季度威胁总结(2016年第四季度和年度评估),一个拥有强大国际影响力的安全供应商,2016年“犯罪分子利用人为的漏洞,发起更多的恶意电子邮件活动,以及攻击移动和社交媒体平台。漏洞利用工具减少,勒索软件突然活跃起来,有针对性的攻击更加复杂。“除了恶意电子邮件活动和恶意软件加载的移动应用程序数量的激增(特别提及与夏季奥运会有关的应用程序:经过审查的移动应用程中有4500个序包含漏洞,潜在可能泄漏数据),“跨社交渠道的欺诈帐户从第三季度翻了一番。这些帐户可能被用于网络钓鱼,社交垃圾邮件,恶意软件分发等。“该研究还发现,社交媒体网络钓鱼攻击在一年中增加了500%,包括垂钓者钓鱼,一种特殊的策略,”拦截社交媒体上的客户支持渠道“,并允许恶意黑客通过假冒合法方收集信息。由于现在公司通过社交网站提供客户服务界面是很常见的,因此在网上虚拟客户服务帐户(许多使用Facebook和Twitter平台)与不知情的用户进行交互并请求登录,密码和帐户信息并不罕见,客户自愿提供信息,希望快速解决他们的问题。
许多骗局还针对用户所制作的信息; 事实上,有些人企图隐藏或只提供给一个值得信赖的朋友圈。在网站上上传信息和多媒体资料时要记住的一个主要事情是网站真的没有预期的隐私。在像Facebook这样的网站中,内容通常至少可以提供给“朋友的朋友”,因此用户对访问他们的数据的用户没有太多实际的控制权。在某些情况下,用户被诱骗在欺骗的Facebook登录屏幕中使用他们的凭据,有效地访问他们的个人资料。据卡巴斯基安全网络2013年的社交网络欺诈研究显示,实际上,模仿社交网站的网络钓鱼网站被归咎于超过35%的案例[...]。模仿Facebook的网站占所有网络钓鱼事件的22%。“
数据泄露的另一个可能来源是用户授予收集信息以交换服务的应用程序:在线玩游戏,与朋友亲密关系的应用程序,或允许您在调查中进行投票并与其他人交互的应用程序收集和组装成用户甚至他们的朋友的信息。另外,在注册组或页面时,通常会接收来自正在进行用户参与的对话活动的陌生人的交友请求。许多这些请求可能是合法和无害的; 然而,有些人来自真正的专业人士,他们在后台等待可能的猎物以共同的利益为名的朋友。通常情况下,他们可以通过发布假的评论,并假装与他人分享他们在特定网站和服务方面的个人经验,诱使其他小组成员打开网络钓鱼网站。
虽然一些互联网浏览器已经采取措施来帮助识别假冒或欺诈的网站,阻止弹出窗口和响应各种各样的攻击,从事安全的电子邮件或安全地使用社交网站是最终用户确保自己的安全在线体验的责任。首先,重要的是要知道如何识别钓鱼诈骗的迹象。来自银行或客户服务的电子邮件,请求登录凭据或帐户信息,来自友好但不为人知的朋友的消息,坚持要与用户保持联系,在非常有限的时间内促使用户执行某些操作的消息都可能是恶意活动; 即使来自信誉良好的来源,没有特别要求的附件也可能是有问题的。
注意“什么是正常”。如果同事的电子邮件不符合他或她通常的风格,或者陌生人坚持认为你是朋友,或者如果有人敦促你点击链接或提供信息, /或凭证,请确保验证任何请求的合法性。
一切都说完了,意识总是最好的防范任何利用员工相关漏洞的骗局。利用在线提供的所有服务和工具。例如,使用免费网络钓鱼模拟器教育员工或免费试用SecurityIQ。这样一个交互式的程序可以帮助减少对网络钓鱼攻击的易受害性,并提高员工的韧性。
结论
社交媒体活动使消费者的私生活更加公开。任何人都可以成为一个网络钓鱼目标,所以重要的是要将浏览习惯的标准安全措施嵌入到网上安全上。除了已经讨论的反网络钓鱼技巧之外,您还应该准备好分享您的经验和调查结果,以帮助其他用户:如果您陷入了欺诈行为,无论是在您的Messenger帐户中收到可疑电子邮件,例如,或其他地方一定要在报告了con(例如发送信息到reportphishing@apwg.org)后删除该消息。当您遇到一个网站时,您认为是欺骗性的,例如Facebook的“克隆”帐户花时间将其报告给antiphishing.org或Google安全浏览小组等网站。这样做,您将有助于保护网络安全远离网络钓鱼网站和网络冲浪者的安全保护。
参考文献
Albaugh, D. (2017, April 28). Common phishing
scams and how to recognise and avoid them.
Retrieved from https://www.comparitech.com/blog/information-security/common-phishing-scams-how-to-avoid/
Anti-Phishing Working Group. (2016). Phishing
Activity Trends Report, 4th Quarter 2016.
Retrieved from http://docs.apwg.org/reports/apwg_trends_report_q4_2016.pdf
Avast.com. (2013, March 25). Threat
Intelligence Team: Fake Facebook login pages spreading by Facebook applications. Retrieved from https://blog.avast.com/2013/03/25/fake-facebook-login-pages-spreading-by-facebook-applications/
Chipurici, C. (2016, June 16). Facebook Privacy
& Security Guide: Everything You Need to Know [Updated]. Retrieved from https://heimdalsecurity.com/blog/facebook-security-privacy-guide/#
Common Sense Media. (n.d.). Facebook,
Instagram, and Social. Retrieved from https://www.commonsensemedia.org/social-media
Demidova, N. (2014, June 11). Social network
frauds. Retrieved from https://securelist.com/social-network-frauds/63855/
Facebook Help
Center. (n.d.). Phishing. Retrieved from https://www.facebook.com/help/phishing
Frenkel, S. (2017, May 28). Hackers Hide
Cyberattacks in Social Media Posts. Retrieved
from https://www.nytimes.com/2017/05/28/technology/hackers-hide-cyberattacks-in-social-media-posts.html
Get Safe Online. (n.d.). Get the whole
picture on safe social media. Retrieved from https://www.getsafeonline.org/safesocial/
Get Safe Online. (n.d.). Protecting Your
Computer Safe Internet Use. Retrieved from https://www.getsafeonline.org/protecting-your-computer/safe-internet-use/
Haley, C. C. (2013, March 18). Facebook
Phishing Scams.Retrieved from http://www.thatsnonsense.com/facebook-phishing-scams/
Hoelscher, P. (2016, May 12). Phishing on
Social Networks – Gathering information.
Retrieved from http://resources.infosecinstitute.com/category/enterprise/phishing/the-phishing-landscape/phishing-attacks-by-demographic/social-networks/#gref
Klosowski, T. (2012, August 30). How Secure Are
You Online: The Checklist. Retrieved from https://lifehacker.com/5938980/how-secure-are-you-online-the-checklist#browser
O’Donnell, A. (2016, October 6). How to Avoid
Getting Scammed By Social Media Phishers.
Retrieved from https://www.lifewire.com/avoid-getting-scammed-by-social-media-phishers-2487636
Phishing.org. (n.d.). Phishing
Techniques. Retrieved from http://www.phishing.org/phishing-techniques
Privacy Rights Clearinghouse. (2010,
June 1). Social
Networking Privacy: How to be Safe, Secure and Social. Retrieved from https://www.privacyrights.org/consumer-guides/social-networking-privacy-how-be-safe-secure-and-social
Proofpoint. (2016). Quarterly Threat
Summary (October – December 2016). Q4 2016 &
YEAR IN REVIEW. Retrieved from https://www.proofpoint.com/sites/default/files/proofpoint_q4_threat_report-final.pdf
Stern, A. (2014, June 23). Social
Networkers Beware: Facebook is a Major Phishing Portal. Retrieved from https://www.kaspersky.com/blog/1-in-5-phishing-attacks-targets-facebook/5180/
US-CERT.org. (2015, September 8). Securing Your
Web Browser. Retrieved from https://www.us-cert.gov/publications/securing-your-web-browser
Wüest, C. (n.d.). Scams and Spam
to Avoid on Facebook. Retrieved from
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/scams_and_spam_to_avoid_on_facebook.pdf
InfoSec
Institute
Rated 4.3/5 based on 302 customer reviews.
InfoSec
Resources
