社交網(wǎng)絡(luò)在個(gè)人生活中深刻地改變著我們的行為方式，也在轉(zhuǎn)變個(gè)人職業(yè)生活方面扮演著重要的作用。在商業(yè)活動(dòng)中社交網(wǎng)絡(luò)也將發(fā)揮著越來(lái)越很重要的影響力。不過(guò)社交網(wǎng)絡(luò)也不是萬(wàn)能的，社交網(wǎng)絡(luò)具有高風(fēng)險(xiǎn)性。由于社交網(wǎng)絡(luò)吸引了眾多用戶(hù)的青睞，黑客也就打起了社交網(wǎng)絡(luò)的鬼主意，尤其是在近年來(lái)，社交網(wǎng)絡(luò)已經(jīng)成為黑客攻擊最重要的目標(biāo)之一。

社交網(wǎng)絡(luò)：堵還是疏？

根據(jù)Palo Alto Networks，下面我們列出企業(yè)在制定規(guī)則的時(shí)候必須考慮到的社交網(wǎng)絡(luò)的十大威脅/風(fēng)險(xiǎn)。

1、社交網(wǎng)絡(luò)蠕蟲(chóng)

根據(jù)研究，社交網(wǎng)絡(luò)蠕蟲(chóng)比如Koobface這類(lèi)已經(jīng)成為Web 2.0時(shí)代最大的僵尸網(wǎng)絡(luò)。這種具備多方面威脅的Koobaface等蠕蟲(chóng)病毒對(duì)傳統(tǒng)“蠕蟲(chóng)”的定義提出了挑戰(zhàn)。比如Facebook、mySpace、Twitter、hi5、Friendster和Bebo等社交網(wǎng)絡(luò)，在某種程度上為僵尸網(wǎng)絡(luò)的擴(kuò)充提供了用戶(hù)基礎(chǔ)，它們可以借由攻破用戶(hù)帳號(hào)來(lái)大量發(fā)送垃圾郵件給更多的主機(jī)。同時(shí)，他們還會(huì)使用傳統(tǒng)的僵尸網(wǎng)絡(luò)來(lái)威脅社交網(wǎng)絡(luò)。

2、網(wǎng)絡(luò)釣魚(yú)

還記得FBAction嗎?這封郵件會(huì)誘使你注冊(cè)Facebook，并引導(dǎo)你登錄到一個(gè)名叫fbaction.net的網(wǎng)站，該網(wǎng)站設(shè)計(jì)和Facebook堪稱(chēng)完全一樣。雖然只有一小部分的Facebook用戶(hù)遭受攻擊，但相對(duì)于其用戶(hù)數(shù)量超過(guò)3.5億來(lái)說(shuō)，受影響的用戶(hù)數(shù)量絕對(duì)不小。值得稱(chēng)道的是，F(xiàn)acebook反應(yīng)迅速加強(qiáng)了監(jiān)控?！acebook雇請(qǐng)的網(wǎng)絡(luò)安全公司成功地干掉了這個(gè)假網(wǎng)站，但另外一個(gè)假網(wǎng)站FBStarter.com馬上又跳出來(lái)，繼續(xù)騙人。安全公司認(rèn)為，這表明是黑客是“集團(tuán)作案”。雖然使用的技術(shù)不是最新，但其創(chuàng)造性和速度卻顯示出他們很有經(jīng)驗(yàn)，有機(jī)會(huì)還會(huì)繼續(xù)搗亂。

3、木馬

社交網(wǎng)絡(luò)已經(jīng)成為木馬泛濫的一個(gè)重要場(chǎng)所：

ZeuS——ZeuS木馬是一種傳染性非常強(qiáng)的計(jì)算機(jī)威脅，在全球各地的計(jì)算機(jī)上都能夠看到它的身影。由于ZeuS木馬易于傳播，并且能夠非常方便地竊取受感染用戶(hù)的在線(xiàn)數(shù)據(jù)，使得ZeuS木馬成為互聯(lián)網(wǎng)黑市上銷(xiāo)售量最高的間諜軟件之一。此木馬能夠幫助網(wǎng)絡(luò)罪犯獲取計(jì)算機(jī)用戶(hù)上任何有價(jià)值的信息，不管是某個(gè)賬號(hào)的登錄名、密碼，還是瀏覽器記住并在自動(dòng)完成字段填入的各種數(shù)據(jù)。

URL Zone——也是一種銀行木馬，但更智能更具有破壞力。它能分析受害用戶(hù)的價(jià)值以幫助決定竊取用戶(hù)信息優(yōu)先級(jí)。

4、數(shù)據(jù)泄露

社交網(wǎng)絡(luò)主旨意在網(wǎng)絡(luò)分享。不幸的是，很多社交網(wǎng)絡(luò)上的用戶(hù)透露過(guò)多關(guān)于其所在機(jī)構(gòu)的信息——工程項(xiàng)目、產(chǎn)品、財(cái)務(wù)狀況、公司重大事項(xiàng)和其他敏感信息。

5、短網(wǎng)址

用戶(hù)喜歡用URL縮短服務(wù)（比如bit.ly和tinyurl）以解決網(wǎng)址過(guò)長(zhǎng)的問(wèn)題。黑客正好也利用這一URL縮短服務(wù)來(lái)迷惑用戶(hù)，讓受害者相信他們所訪(fǎng)問(wèn)的不是惡意網(wǎng)站。URL縮短服務(wù)在技術(shù)上很容易實(shí)現(xiàn)而且無(wú)處不在。很多Twitter客戶(hù)端都會(huì)自動(dòng)縮短訪(fǎng)問(wèn)鏈接。甚至夫妻一方會(huì)過(guò)多透露其配偶為了某項(xiàng)絕密計(jì)劃而深夜加班趕進(jìn)度的信息。

6、僵尸網(wǎng)絡(luò)

去年年底，安全專(zhuān)家披露了Twitter帳號(hào)被用作指揮和控制某些僵尸網(wǎng)絡(luò)的非法渠道。一般的指揮和控制渠道是IRC（Internet Relay Chat），但有些人會(huì)使用其他一些應(yīng)用程序——P2P文件共享來(lái)實(shí)現(xiàn)。后來(lái)Twitter關(guān)閉了這些被用來(lái)指揮控制僵尸網(wǎng)絡(luò)的帳號(hào)，但也給受感染主機(jī)訪(fǎng)問(wèn)Twitter的提供了便利。

7、高級(jí)持續(xù)性威脅

高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）是黑客入侵系統(tǒng)的一種新方法。它是一種高級(jí)的、狡猾的伎倆，高級(jí)黑客可以利用 APT入侵網(wǎng)絡(luò)、逃避“追捕”、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪(fǎng)問(wèn)。這意味著用戶(hù)所面臨的攻擊和威脅將是長(zhǎng)期的、持續(xù)的，因此對(duì)于機(jī)構(gòu)而言必須時(shí)刻保持“戰(zhàn)備”狀態(tài)，這是十分必要的。這是一場(chǎng)不會(huì)結(jié)束的戰(zhàn)爭(zhēng)。APT極其狡猾、隱匿，這預(yù)示著機(jī)構(gòu)很可能在幾個(gè)月內(nèi)持續(xù)遭受入侵，卻渾然不知。

8、跨站請(qǐng)求偽造

它并不是一種具體的威脅形式，看起來(lái)更像是傳播社交網(wǎng)絡(luò)蠕蟲(chóng)的伎倆。CSRF（Cross-site request forgery跨站請(qǐng)求偽造）利用騙取社交網(wǎng)絡(luò)程序的方式來(lái)攻擊已登錄用戶(hù)的瀏覽器。CSRF是一種依賴(lài)web瀏覽器的、被混淆過(guò)的代理人攻擊（deputy attack），攻擊通過(guò)在授權(quán)用戶(hù)訪(fǎng)問(wèn)的頁(yè)面中包含鏈接或者腳本的方式工作。風(fēng)險(xiǎn)在于那些通過(guò)基于受信任的輸入form和對(duì)特定行為無(wú)需授權(quán)的已認(rèn)證的用戶(hù)來(lái)執(zhí)行某些行為的web應(yīng)用。已經(jīng)通過(guò)被保存在用戶(hù)瀏覽器中的cookie進(jìn)行認(rèn)證的用戶(hù)將在完全無(wú)知的情況下發(fā)送HTTP請(qǐng)求到那個(gè)信任他的站點(diǎn)，進(jìn)而進(jìn)行用戶(hù)不愿做的行為。使用圖片的CSRF攻擊常常出現(xiàn)在網(wǎng)絡(luò)論壇中，因?yàn)槟抢镌试S用戶(hù)發(fā)布圖片而不能使用JavaScript。

9、身份偽造

身份偽造（Impersonation）：指攻擊者偽裝自己成為一個(gè)授權(quán)用戶(hù)以獲得未授權(quán)訪(fǎng)問(wèn)。身份偽造屬于破壞保密性的威脅。大部分身份偽造的人不會(huì)散播惡意程序，不過(guò)也不排除小部分受攻擊帳號(hào)會(huì)被用作此類(lèi)用途。

10、信任

幾乎大部分威脅的共同之處都在于獲得了用戶(hù)對(duì)社交網(wǎng)絡(luò)應(yīng)用程序的充分信任。比如電子郵件，當(dāng)它成為主流或者無(wú)處不在的即時(shí)信息時(shí)，人們都會(huì)相信這些來(lái)自“朋友”所提及的網(wǎng)站鏈接、圖片、視頻和可執(zhí)行文件的合法性。

【編輯推薦】

1. 小技巧：防僵尸網(wǎng)絡(luò)威脅
2. 穩(wěn)建構(gòu)造封殺六種網(wǎng)絡(luò)威脅