用人人、开心网等SNS类社交网站进行网络推广的方式已被普遍应用。因此,很多公司企业与SNS类社交网站接触频繁,通过社交网络自我推广,甚至举办各类在线活动。给企业带来效益的同时,也为攻击者发起钓鱼攻击创造了更多机会。此外, SNS类社交网站用户信息集中、传播广泛、支持短链接转发等特点,同样为攻击者提供了便利。这些因素让处于社交网络中的企业、个人信息异常脆弱,而社交网站在网站信息安全方面并没有过多投入,像国内网站普遍采用的SSL证书(服务器证书)等安全技术均未体现。
一份来自微软的安全报告称,利用社交网络发动的“钓鱼”攻击占2010年12月份“钓鱼”攻击总数的84.5%,而这一数字在同年1月仅为8.3%。可见社交网络“钓鱼”攻击来势汹汹,安全威胁显而易见。
“钓鱼“攻击主要的攻击方式是冒充合法信息,通过诱惑性的内容吸引网络用户点击恶意链接,已达到诱骗用户购买流氓软件或窃取用户个人注册信息的目的。像以“腾讯十周年中奖”、“抢先注册购买半价iphone“等为噱头的恶意欺诈就属于钓鱼攻击,而这种欺诈行为很容易应用在社交网络。
来自社交网络的钓鱼攻击威胁个人权益的同时,也在伤害公司企业的利益。比如某公司通过社交网络发起有奖活动,恶意攻击者会先假造一个以假乱真的钓鱼网页,然后通过一些手段让该假冒网页的链接位于搜索结果最靠前的位置,并对真正的活动网址发起攻击,使其无法正常访问,诱使用户进入钓鱼页面。此时,恶意攻击者可以获取用户的注册资料,并以此发起进一步的欺诈攻击。对替钓鱼网页“背黑锅“的企业而言,这无疑是一场瓦解用户信任的灾难。
面临信任缺失威胁的同时,企业信息安全也被来自社交网络的钓鱼攻击所动摇。有时员工有时会通过企业网络登录社交网站,。这意味着企业员工一旦遭遇钓鱼攻击,恶意攻击的影响很可能会波及企业网络内部,致使企业网络无法正常工作。而APT类攻击的发起者,甚至会通过观察企业员工在社交网络的活动规律,逆向发现侵入企业网络的路径。
社交网络安全问题明显,但其为用户带来的便利以及网络推广中体现出的价值确实让用户两难。因此建议在企业和个人加强自身信息安全防范的同时,社交网站应当及时加强自身安全建设。
目前,各类网站为确保信息安全、有效区分钓鱼网站,普遍采用SSL证书(服务器证书)产品。通过在涉及用户信息的关键页面部署SSL证书,建立信息加密传输通道,防止用户信息在传输过程中被窃取、篡改。全球知名度最高的VeriSign SSL证书还提供免费恶意软件扫描功能,及时监测网页上挂马等恶意攻击行为。同时,部署SSL证书的网站具备一系列安全特征:地址栏以“https“开头且在地址栏右侧显示金色锁形标记,点击标记后可查看服务器证书和颁发机构信息,以帮助用户确认网站真实身份,快速排除以假乱真的钓鱼网页。
许多用户熟知的网站如支付宝、卓越网、华夏基金等都部署了VeriSign证书,该证书作为全球最知名的服务器证书品牌受到世界百强企业的广泛认可。VeriSign在与其中国区合作伙伴天威诚信超过11年的合作中,为上百家网站提供安全服务,在保护用户信息安全和打击钓鱼网站方面做出积极贡献。SNS类社交网站可参考这些知名网站的防护措施,及时提升自身安全强度,以对抗来自钓鱼攻击的安全威胁。
