Web2.0时代 需要防范的5种新型在线威胁

目前在国外,已经出现了几种专门针对社交网和购物网用户的攻击类型。例如,黑客正在持续不断的寻找新的方式来锁定Facebook和Amazon.com的用户。

Facebook目前拥有数亿用户,已经成为了黑客、垃圾邮件以及骗子的攻击目标。而在中国,社交网络的用户数量更是庞大。根据Sophos的安全报告显示,这些恶意人士正试图通过诈骗调查、假冒的应用和中毒的链接来引诱用户上当受骗。

不幸的是,社交网络远不是唯一一种被恶意人士盯上的网站。像Amazon,巨型电子零售网站,也在不经意间为黑客打开了一扇门,黑客可以用它来窃取用户的密码并访问其信用卡信息。

下面是五种新的威胁:

1.点击劫持:Sophos安全报告说这是攻击社交网用户最常见的方式之一。这类攻击通常是在一个真正的链接上创建一个新的恶意页面,来用一个完全不同的页面替换真正的页面。通常用户会通过共享这些内容来显示在状态更新,而传播这个骗局。同样的,国内的社交网络用户也要谨防这一类型的攻击。

其实用户可以通过简单的留意一下发来消息的电子邮件地址,就可以发现猫腻儿。这里的教训是显而易见的:当点开一个链接发来的邮件时,留意一下寄件人的地址。如果它看起来不正常,请果断删除它。此外,确保你的浏览器是最新版本的,何不好好利用一下他们的保护功能呢?

2.假调查:这类骗局与点击劫持有所关联,因为它试图通过一个误导信息引诱你点击一个危险的信息。通常,这类骗局是由一个比较吸引人的消息开始。这里有一个例子:

“天啊!看这个孩子在被开除后,对他的学校做了什么!在这个11岁的孩子被学校开除后,他发疯了!”好吧,这类新闻通常很吸引人。

然后,你必须分享这个页面并填写一个短小的评论之后才能阅读该页面。哎呀:现在你已经进入了骗子预设的调查填写圈套了,这会帮助他们向你所有的朋友传播这个骗局。这种调查结束后可以为这些骗子赚取金钱。这就是为什么这种消息逐渐蔓延到社交网络的原因。

3.盗贼应用:危害更为严重的是,假冒调查可能会连接到一个恶意应用程序上去。有时这些应用会寻找你的地址簿,并向其中的所有人发送假冒的调查来赚取金钱。其他流氓劫持应用可以通过安装键盘记录器(这是一种记录和传递击键顺序的应用程序)或其他恶意软件来劫持数据。其他假冒应用程序可以把你的电脑变成用于广播恶意软件的僵尸电脑。

4.亚马逊漏洞:这是一个安全漏洞,可以允许公司服务器接收几乎但并非完全正确的密码。幸运的是,这种漏洞只会影响比较老的密码。

这个漏洞导致亚马逊的服务器可以接受一些非法定的密码。例如在8位密码之后添加了其他字符的密码,也使得密码不区分大小写了。该漏洞使长密码的优势消失掉,导致密码可以很容易的用软件破解。

在任何情况下,都显示新的密码不会受到影响,但目前尚不清楚截止日期是什么。在任何情况下,你也可以很容易的更改亚马逊的账户密码。如果你喜欢,可以更改为相同的密码,但是它对于后台的服务器来说仍然是一个全新的密码,仍然是安全的。

5. Spearphishing(鱼叉式网络钓鱼):这种情况更多的是通过普通的电子邮件发生;但是用户也有可能被来自Facebook 或Twitter的消息击中。鱼叉式网络钓鱼是这样的:你先会收到一个非常私人的邮件或消息,这个消息可能显示的是来自一个你经常交流的人或公司。但是,这个消息会引领你到一个中毒的网站。是的,这听起来就像是用户一直防范的“钓鱼”。这些消息通常是伪装成提醒收件箱已满这种类型。鱼叉式网络钓鱼更进一步的添加了个人的信息来麻痹用户。国内用户需要提防的,是来自社交网络和微博好友的假冒消息。

Sophos网站上说:“平常的钓鱼消息通常显示为是来自一个大型的非常知名的企业或站点,这些网站通常拥有广泛的会员基础,例如EBAY或PayPal。而在鱼叉式网络钓鱼的情况下,电子邮件的来源通常是显示为来自收件人所在的公司,或者公司中的某个上级。”