朋友还是骗子?安全和社交网络

DoSECU 安全报道 6月29日消息:回首今年1月,居民布莱恩.瑞伯格在美国华盛顿州西雅图市的朋友们从来自布莱恩带有照片的Facebook邮箱的电子邮件中读到,布莱恩出现了问题。在电子邮件中,布莱恩声称他遇到了大麻烦,需要朋友们的帮助。

至少有一位朋友向他汇钱。然而事实上布莱恩并没有陷入麻烦,也不需要帮助–只是他的网站被网络犯罪分子利用了。

这只是一起针对世界领先的社交网站Facebook的网络诈骗活动。

Facebook的规模和飞速的增长就像一块蜜糖吸引了网络犯罪分子这些苍蝇的注意不过不仅是日常的用户处在风险之中。由于Facebook和提供软件的几家厂商捆绑在一起搭建企业社区,因此企业也通常处在了危险之中。

社交网络存在被网络犯罪分子利用的弱点是因为社交网络为了吸引更多的用户就必须保持开放性。有时他们的运行模式是与常规的数据安全体系相悖的,这就使得保障社交网络的安全变得更加困难。

其他的Facebook案例

在类似布莱恩的案例中,一名犯罪分子诱骗用户透露密码等个人信息(俗称钓鱼),然后利用这些信息来掌控用户的账户。由此可见,举例来说钓鱼者会利用各种诱骗的手段,劝服受骗用户的朋友给他指定的账户汇钱。一旦钱款汇出他们就会中途截留。光是今年的四五月间,就发生了三起涉及大量Facebook用户的钓鱼式攻击。

今年2月垃圾邮件传播者就劫持了Facebook网站上高达500万用户的Facebook新版本页面。他们向超过150万用户发送了各种垃圾广告。

去年以来木马制造者也开始攻击Facebook,Koobface蠕虫和至少一种变种重复攻击了Facebook网站。

为什么总是社交网站?

Facebook当然不是遭遇攻击的唯一网站。面向专业人员的社交网站LinkedIn也受到了攻击。MySpace网站过去定期会受到攻击,直到Facebook的频繁中招将他们的遭遇湮没不见。

为什么社交网站总是成为黑客,木马制造者和其他网络犯罪分子的首要攻击目标?

一个原因是人们喜欢社交网站。根据尼尔森研究公司的在线调研,社交网站在人们在互联网上花费的时间总和中占据10%的比例。在美国,欧洲,巴西和澳大利亚互联网用户中有2/3的人群在使用社交网络或者博客网站。

尼尔森研究公司的发言人米歇尔.麦克尼表示,这个数字是令人吃惊的:在美国所谓的数字世界的人口总和几乎达到了1.56亿人。在英国有超过2900万人会上互联网;在巴西这个数字超过了2500万。如果这些人中有2/3的人群使用社交网络,这个数字就会大到没法被网络诈骗者忽视。

继续保持增长

网络犯罪分子喜欢社交网站的另一个原因是这些网站为了吸引更多的用户加入,就必须保持进入的便捷性。

Breach Security的应用软件安全研究总监Ryan Barnett表示"这对于一家社交网站的成功和普及是非常重要的,只有这样才能让用户共享数据,网络工具和动态网页"。

安全专家则正好相反,他们宁愿让用户进入网络更加困难。

"从安全的角度来说,灵活性的增加就意味着滥用功能的风险加剧"。

这些相互矛盾的力量能够得到解决并且让社交网站变得安全吗?

通往正义的道路非常艰难

Facebook的发言人巴里.斯科特表示,Facebook一直在致力于保障网站的安全。除了研发防范,侦测和消灭针对用户的攻击行为的技术外,Facebook还和微软,木马防御中心等安全组织展开合作。

他们还在博客上运行用户培训窗口来推动用户保护他们的安全页面。

斯科特称"自从网站5年多前成立以来,我们的这些努力结合起来会将被安全问题所影响的Facebook用户的数量限制到1%以内。通过对比,你会发现在2005年,由司法部提供的最新统计数据显示,每1000个美国家庭中就有29.5个,或者说30%。被盗窃过"。

不过安全问题仍然对那不到1%的Facebook用户人群造成了伤害。比如布莱恩–他的账户就被锁定了一周的时间,他的朋友也因为网络犯罪分子的行为损失了1200美元。

企业须知的安全社交网络行为

企业为了构建用户社区会通过和在线客户关系管理厂商Salesforce.com和IBM的Lotus Notes division等软件厂商与Facebook捆绑合作。但是这种做法也是一把双刃剑。

反病毒厂商Sophos公司的资深技术咨询师Graham Cluley表示"这对于接近用户是有意义的,但是同时也让企业处在被感染的风险之中"。企业应该在他们的IT基础架构中包括安全解决方案,对每个网络或者用户能使用的链接进行安全扫描,看看这些网页和链接中是否存在恶意病毒。

Cluley建议说,企业还应该培训用户不要对所有登录的网站都使用同样的密码,最好设置强大的密码。

开放是关键

虽然要求输入用户名/密码是一种被计算机用户广泛熟知的安全系统,但它未必是最有效的。

VeriSign公司的高级副总裁Fran Rosch曾经在接受采访时表示"这种结合显然并不安全,有很多方法都可以将其破解"。

Facebook的斯科特并不认同这种说法,他认为"用户名和密码是一种行业解决方案,每天有数亿用户在使用这种验证方法"。斯科特还补充说,Facebook会采取额外的安全措施,比如尝试输入密码多次后会阻止访问。

根据Rosch的说法,社交网络仍然不希望设置更加严格和复杂的安全措施,因为他们希望能吸引更多的用户群。"我们和Facebook和MySpace进行过商谈,他们告诉我们:易于使用和开放性对他们来说比安全更加重要"。

Facebook的斯科特表示"Facebook是人们之间彼此联系和分享的工具;网站真正的目的就是为了人们的联系和共享"。

使用双重身份验证

VeriSign公司的Rosch认为,社交网站应该使用双重身份验证。双重身份验证是由你所有的和你所知道的东西组成的。

你有的东西可能是你的计算机或者手机,可以由VeriSign的代理服务器来验证用户的设备。密码是验证的另外一个组成部分。

VeriSign通过VeriSign验证保护服务提供双重身份验证。软件代理会在特定的时间被发送。因此用户可以升级他的计算机,这样就不会被黑客所窃取。Rosch称"如果有人尝试通过互联网窃取验证信息就会被识破"。

了解自己

从事互联网安全业务和社交联络服务的Purewire公司提供了另一个选择。Purewire公司建立了一个免费的在线信誉验证服务网站PurewireTrust.org,这个网站可以供用户检查和验证其他在线人员的身份。这个三月份成立的网站目前仍然处在测试阶段。

Purewire和PurewireTrust.org的研究科学家史蒂夫.沃博介绍说,PurewireTrust.org存储了来自网名网络身份验证的信息,会自动对来自不同来源的数据进行交叉核对来校验数据的准确性。

PurewireTrust.org与Facebook Connect单一登录服务结合使用来改进Facebook用户的安全性。沃博表示"我们通过电子邮件地址知道了成百上千的网名,我们可以对通过Facebook Connect登录的数千人进行身份验证"。

"大家需要在线验证的服务,我们想努力成为在线验证领域的谷歌"。