如今，逢此“信息就在指尖”的互聯(lián)網(wǎng)時代，不少人都擁有自己的電子郵件、QQ號碼、MSN等與親朋好友聯(lián)系的通信工具，更有許多人在社交網(wǎng)站上注冊了自己的賬號，這無疑會極大地方便我們的工作與生活。但隨著利欲熏心的不法之徒盯上社交網(wǎng)絡(luò)，普通的用戶在上網(wǎng)時便面臨著巨大的“被黑”風(fēng)險。

　　社交網(wǎng)絡(luò)重點在于構(gòu)建有著共同興趣和活動的人們的在線社團，它也可以是對探索別人的興趣和活動感興趣的人員集合。許多社交網(wǎng)絡(luò)是基于Web的，并可向用戶提供交互的機會，如在文章開頭所談到的電子郵件和其它即時通信服務(wù)。

　　社交網(wǎng)絡(luò)可以圖示如下：

　　社交網(wǎng)絡(luò)的******危險***在于損害個人的身份信息及其它信息。它可能會導(dǎo)致你的相片被發(fā)到某個******網(wǎng)站，抵毀你的形象。也可能會導(dǎo)致你的網(wǎng)上銀行卡的機密信息被人竊取，還有可能在不知不覺之間將公司的商業(yè)機密“大白于天下”!

　　不要對此掉以輕心了，不要覺得這種事情不會發(fā)生在你或你的公司身上。社交網(wǎng)絡(luò)是網(wǎng)絡(luò)釣魚者、垃圾郵件制造者、僵尸網(wǎng)絡(luò)控制者、公司間諜謀取利潤的重要陣地，如果對其使用不慎，它甚至可輕易地葬送公司或個人的命運。

　　問題的根源在于社交網(wǎng)絡(luò)站點本身并不安全。一般情況下，這種站點并不對用戶進行鑒別，用戶無法完全確認在線的所謂友人的身份，而攻擊者可以輕易地利用社交網(wǎng)絡(luò)內(nèi)的“可信任的”文化，從中大塊朵頤。但是，許多用戶并未啟用或部署這些站點所提供的某些安全和私密選項。

　　例如，社交網(wǎng)絡(luò)應(yīng)用程序開發(fā)工具，如OpenSocial，還有一些第三方的工具可輕易地被攻擊者利用傳播惡意軟件或泄露個人私密信息。此外，還存在著公司間諜的真實風(fēng)險，攻擊者可以輕易地利用網(wǎng)絡(luò)雇員的信息實施其它攻擊。而且，有些流行的Web攻擊方式，如跨站腳本攻擊，也可被用于對付社交網(wǎng)絡(luò)的成員。

　　千萬不要因為你禁止家庭住址、電話號碼等私有信息而沾沾自喜，因為這樣并不能使你免受安全威脅。在互聯(lián)網(wǎng)上并沒有什么真正的私密。用戶只能延緩信息被泄露的風(fēng)險。用戶需要將整個互聯(lián)網(wǎng)看作是一個所有資源都永存的平臺。

　　針對社交網(wǎng)絡(luò)的攻擊才剛剛開始，因此在發(fā)布個人信息時請三思而后行，或者在接受并信任新的朋友時需要加倍謹慎。隨著攻擊者日益關(guān)注社交網(wǎng)絡(luò)，其攻擊將更加嚴重。事實顯示出，社交網(wǎng)站已成滋生網(wǎng)絡(luò)攻擊的溫床。

　　孫子說，知彼知已，百戰(zhàn)不殆。要對付社交網(wǎng)絡(luò)攻擊，先要對付這種攻擊，下面筆者談?wù)劰粽?**陰險的七大社交網(wǎng)絡(luò)“黑技”：

　　一、身份假冒及針對性的個人信息攻擊

　　二、制造垃圾郵件和僵尸網(wǎng)絡(luò)

　　三、被改造的社交網(wǎng)絡(luò)應(yīng)用程序

　　四、個人信息與專業(yè)信息的交叉混雜

　　五、跨站腳本攻擊或跨站請求偽造

　　六、身份竊取

　　七、公司間諜

　　下面逐個談?wù)劊?

　　一、身份假冒及針對性的個人信息攻擊

　　不要認為安全專家們沒有受到社交網(wǎng)絡(luò)威脅。近年來的社交網(wǎng)絡(luò)攻擊日益廣泛深入，許多社交網(wǎng)站的個人信息被發(fā)布到了其它網(wǎng)站上，這說明即使是專家也有可能無法幸免于難。作惡者可以借個人身份信息威脅受害人，如將其相片發(fā)到網(wǎng)絡(luò)上。

　　如果社交網(wǎng)站的成員快速更新了自己的所作所為，或者對多個“跟隨者”作出了注釋，那么這簡直就是在將其它的因素引入到社交網(wǎng)絡(luò)安全中，即物理安全。也許你并沒有跟別人說自己是誰、在什么地方，但這并不能阻止別有用心的家伙知道你的信息。

　　例如，將個人的太多信息(如出行信息或旅行計劃等)散布到網(wǎng)絡(luò)上，可能會導(dǎo)致入室行竊等的發(fā)生。由此可見，這會導(dǎo)致嚴重的物理安全問題。因此人人都不要輕易地將自己的信息發(fā)布到社交網(wǎng)站上。

　　正如哈密爾和摩爾在黑帽大會上所演示的那樣，用戶甚至不必擁有要攻擊的社交網(wǎng)絡(luò)的配置信息，也不必擁有賬號，就可將他人的照片發(fā)送到互聯(lián)網(wǎng)上，并獲取在線的信息，構(gòu)建令人深信不疑的信息。

　　二、制造垃圾郵件和僵尸網(wǎng)絡(luò)

　　垃圾信息制造已經(jīng)成為一種巨大的產(chǎn)業(yè)，廣告、單擊性欺詐、僵尸網(wǎng)絡(luò)需要有效地傳播其消息、惡意軟件(或二者兼而有之)的一種機制。攻擊者早已經(jīng)如蛆蟲一樣進入了社交網(wǎng)絡(luò)社團，劫持用戶賬戶，并使用其地址簿傳播垃圾郵件、蠕蟲或其它的惡意軟件。

　　可以看出，越來越多的惡意軟件被作為附件放在了垃圾郵件中。在國外******的社交網(wǎng)站中可以清楚地看到這一點。這種郵件的特點是將不明真相的人吸引到“特殊的”網(wǎng)頁中，如引誘用戶點擊一個精彩的視頻鏈接，而其實際上這是一個特洛伊木馬的下載鏈接，它會偷偷地將惡意軟件下載到用戶的計算機上，并將此計算機變?yōu)榻┦W(wǎng)絡(luò)的成員。

　　三、被改造的社交網(wǎng)絡(luò)應(yīng)用程序

　　用戶們并沒有過多地考慮將應(yīng)用程序安裝到其瀏覽器中的問題，不過，這些應(yīng)用程序可能會獲得訪問用戶系統(tǒng)的能力，而用戶的一些極私密的信息可能存儲在其自身的系統(tǒng)中，其危險性顯而易見。不過，總有一些用戶認為安裝這些應(yīng)用程序沒有什么了不起。

　　這使得第三方的應(yīng)用程序成為攻擊者的一種簡易工具。此外，第三方的應(yīng)用程序服務(wù)還使得基于代碼的攻擊獲得了途徑。

　　但并不是說所有的社交網(wǎng)絡(luò)虛擬工具都是惡意的。如開放性社交網(wǎng)站opensocial向工具的開發(fā)人員提供了在其應(yīng)用程序中限制惡意JavaScript的選擇，但不熟練的開發(fā)者卻不知道如何使用這些手段。這只是一些可選項，很少有開發(fā)者使用這種工具。***終結(jié)果是，對安全不敏感的開發(fā)人員可以構(gòu)建應(yīng)用程序，而其傳播速度也會如枯草上的野火一樣迅猛。

　　四、個人信息與專業(yè)信息的交叉混雜

　　即使用戶將A社交網(wǎng)站的賬戶信息用于私用，而將另外一個社交網(wǎng)站的賬戶用于專業(yè)性網(wǎng)絡(luò)，這也無法保證前者的圖片不會出現(xiàn)在后者的賬號中，甚至“跑”到老板的郵箱中。不妨考慮一下開放性的社交網(wǎng)絡(luò)，不管是圖片還是工作經(jīng)歷，都可以成為到處復(fù)制、粘貼的對象。

　　五、跨站腳本攻擊或跨站請求偽造

　　跨站腳本攻擊及跨站請求偽造漏洞是很顯明的攻擊工具，有一些社交網(wǎng)絡(luò)蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數(shù)社交網(wǎng)絡(luò)擁有對付跨站腳本攻擊的機制。而跨站請求偽造則尚未流行起來。

　　跨站腳本攻擊和跨站請求偽造對社交網(wǎng)絡(luò)站點并未造成巨大的風(fēng)險。在跨站腳本攻擊中，惡意的代碼被注入到有漏洞的Web應(yīng)用程序中，查看這些網(wǎng)頁的用戶就會被“黑”。在跨站請求偽造中，攻擊者會欺騙用戶的瀏覽器發(fā)出要求登錄的請求。

　　要知道，在任何時候，攻擊者都可以強迫用戶加載HTML代碼，其潛在的威脅是攻擊者通過XSS/CSRF利用瀏覽器的漏洞、感染僵尸網(wǎng)絡(luò)、并可操縱用戶賬戶。

　　跨站請求偽造攻擊可以在多個社交網(wǎng)絡(luò)站點之間跳轉(zhuǎn)，而在用戶不斷登錄之時，這種攻擊能夠從一個社交網(wǎng)絡(luò)傳播到另外一個網(wǎng)絡(luò)。從總體上看，跨站請求偽造攻擊是一種被人們忽視的黑客行為。

　　六、身份竊取

　　簡言之，身份竊取指通過假裝為另外一個人的身份而進行欺詐、竊取等，并獲取非法利益的活動。社交網(wǎng)絡(luò)的信息可透露一些頗有價值的內(nèi)容，如受害者的姓名和出生日期。身份竊賊們可以用這些信息猜測用戶的口令或模仿這些用戶，并***終竊取其身份。

　　社交網(wǎng)絡(luò)的用戶有時在不經(jīng)意間將自己的信息拱手讓給他人，他們可能將自己的郵件地址、出生日期、電話號碼等交給并不熟悉的所謂“網(wǎng)友”。

　　我們對社交網(wǎng)絡(luò)用戶的一條忠告是，不要回答網(wǎng)站提交的全部問題，或者不要提供自己真實的出生日期。用戶不必告訴網(wǎng)站自己真實的教育背景、電話號碼等，還要想方設(shè)法讓竊賊得到錯誤的其它敏感信息。

　　七、公司間諜

　　公司間諜活動在互聯(lián)網(wǎng)平臺日益發(fā)展壯大的背景下也有增無減，雇員的個人信息也有可能使公司招致公司間諜風(fēng)險。

　　例如，為了實施釣魚攻擊，攻擊者所做的是在社交網(wǎng)絡(luò)站點上搜索公司的雇員，然后擺出一副公司老板或領(lǐng)導(dǎo)的姿態(tài)，如以人力資源部領(lǐng)導(dǎo)的身份出現(xiàn)，并向雇員發(fā)送電子郵件，如：“親愛的某某，恭喜你加入本公司。請單擊下面的鏈接訪問本公司的內(nèi)聯(lián)網(wǎng)，并以你正常的用戶名和口令登錄，我們將根據(jù)你的信息更新配置文件。”尤其要注意的是，剛來公司上班的新人有可能會遭到這樣的欺騙。

　　對付這種間諜行為的******辦法是告訴雇員要限制所公開的信息，并不要將雇主或老板的名字透露出去，這可以減少通過雇員攻擊公司領(lǐng)導(dǎo)及公司的機會。

　　總之，雇員需要知道，你在社交網(wǎng)絡(luò)上與不法之徒也許僅有一步之遙。要明白:在社交網(wǎng)站上總有一些黑手在搜索你的信息。與我們互聯(lián)的不僅僅是朋友，還有可能是豺狼。所以請謹慎地透露你的信息。

　　摘自：天津硬盤數(shù)據(jù)恢復(fù)