越来越多的用户有了自己的个人站点,在Blog上记述自己的生活,在各种论坛上和朋友交流,在视频分享网站上发布自拍的视频——这类用户可以自己添加信息,和朋友交流,展示自己个性的网站,称为社会网络(SocialNetworking)网站。但是用户在使用社会网络网站的时候,常常没有意识到自己在网上所发布的信息有可能会被用于欺诈行为。
我们来假设一个场景:A和B在同一个企业E上班,都是开发部门的员工。A所在企业E的竞争对手F,想要了解企业E的产品开发情况,但由于F没有企业E的信息渠道,一直无法得手。某一天F在互联网上找到A的blog站点,A在blog上写了某个时期将要出差到外地,F就在A出差的时间段内,借A的名义和B联络,并成功的从B手里骗取了企业E的产品开发进度。
再来看另外一个例子,某个网络游戏正在进行紧张的内部测试,打算在未来2周内征集一批测试玩家,玩家们都聚在某个游戏论坛上热烈讨论如何获取测试账户。此时一个攻击者留意到玩家们的热情,然后他利用论坛上收集到的信息,精心构造了钓鱼邮件和网站,并引诱了大批急于拿到测试账户的玩家访问,最终他拿到了大量的诸如身份证号等应该保密的私人信息。
以上两个例子都是攻击者收集了目标在社会网络网站上所发布信息,经过整理并发起欺诈攻击,并最终得手。攻击者还会使用各种工具软件,自动从社会网络网站上收集用户的信息,显然,用户在社会网络网站上泄漏的私人信息越多,留给攻击者的机会就越多,欺诈攻击成功的可能性就越大。用户也常常把自己的姓名、生日、电子邮件地址、工作等私人信息发布到社会网络网站上去,同时却又使用其中的一项或多项信息来用做自己各种网络账户的密码提示信息,这其中隐藏的风险是不言而喻的。
需要说明的是,笔者并非是在劝说用户不要使用自己的blog等社会网络网站(笔者也有自己的blog:)),只是建议用户在网站上发布信息时,要注意不要把自己的个人信息都放上去,尤其是直接可以与用户本人联系起来的身份及私人信息。
用户如何降低成为欺诈攻击目标的风险?下面提供几个建议:
1、尽量不要在网上发布与用户自己使用的密码提示有关的信息,比如完整的生日日期、宠物的名字等
2、使用好友设定,比较敏感的blog文章之类的只允许好友列表中的朋友阅读
3、尽量不要在网上发布假期安排或者其他有可能导致用户离开的时候发生安全事件的信息
4、不要在网上发布一些有可能对现在或将来的工作造成影响的信息,无论是现在的老板或者新工作的管理者都会去社会网络网站上查看信息
5、对网上的朋友保持警惕,他们所使用的照片或个人资料都有可能是虚假的
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/35644,如需转载请自行联系原作者
