| 導購 | 订阅 | 在线投稿
分享
 
 
 

安全關注:黑客攻防最陰險七大黑技

2008-12-16 06:00:56  編輯來源:互聯網  简体版  手機版  移動版  評論  字體: ||

如今,逢此「信息就在指尖」的互聯網時代,不少人都擁有自己的電子郵件、QQ號碼、MSN等與親朋好友聯系的通信工具,更有許多人在社交網站上注冊了自己的賬號,這無疑會極大地方便我們的工作與生活。但隨著利欲熏心的不法之徒盯上社交網絡,普通的用戶在上網時便面臨著巨大的「被黑」風險。 社交網絡重點在于構建有著共同興趣和活動的人們的在線社團,它也可以是對探索別人的興趣和活動感興趣的人員集合。許多社交網絡是基于Web的,並可向用戶提供交互的機會,如在文章開頭所談到的電子郵件和其它即時通信服務。社交網絡的最大危險性在于損害個人的身份信息及其它信息。它可能會導致你的相片被發到某個成人網站,抵毀你的形象。也可能會導致你的網上銀行卡的機密信息被人竊取,還有可能在不知不覺之間將公司的商業機密「大白于天下」!不要對此掉以輕心了,不要覺得這種事情不會發生在你或你的公司身上。社交網絡是網絡釣魚者、垃圾郵件制造者、僵屍網絡控制者、公司間諜謀取利潤的重要陣地,如果對其使用不慎,它甚至可輕易地葬送公司或個人的命運。問題的根源在于社交網絡站點本身並不安全。一般情況下,這種站點並不對用戶進行鑒別,用戶無法完全確認在線的所謂友人的身份,而攻擊者可以輕易地利用社交網絡內的「可信任的」文化,從中大塊朵頤。但是,許多用戶並未啓用或部署這些站點所提供的某些安全和私密選項。例如,社交網絡應用程序開發工具,如OpenSocial,還有一些第三方的工具可輕易地被攻擊者利用傳播惡意軟件或泄露個人私密信息。此外,還存在著公司間諜的真實風險,攻擊者可以輕易地利用網絡雇員的信息實施其它攻擊。而且,有些流行的Web攻擊方式,如跨站腳本攻擊,也可被用于對付社交網絡的成員。千萬不要因爲你禁止家庭住址、電話號碼等私有信息而沾沾自喜,因爲這樣並不能使你免受安全威脅。在互聯網上並沒有什麽真正的私密。用戶只能延緩信息被泄露的風險。用戶需要將整個互聯網看作是一個所有資源都永存的平台。針對社交網絡的攻擊才剛剛開始,因此在發布個人信息時請三思而後行,或者在接受並信任新的朋友時需要加倍謹慎。隨著攻擊者日益關注社交網絡,其攻擊將更加嚴重。事實顯示出,社交網站已成滋生網絡攻擊的溫床。孫子說,知彼知已,百戰不殆。要對付社交網絡攻擊,先要對付這種攻擊,下面筆者談談攻擊者最陰險的七大社交網絡「黑技」:一、身份假冒及針對性的個人信息攻擊二、制造垃圾郵件和僵屍網絡 三、被改造的社交網絡應用程序四、個人信息與專業信息的交叉混雜五、跨站腳本攻擊或跨站請求僞造六、身份竊取七、公司間諜下面逐個談談:一、身份假冒及針對性的個人信息攻擊不要認爲安全專家們沒有受到社交網絡威脅。近年來的社交網絡攻擊日益廣泛深入,許多社交網站的個人信息被發布到了其它網站上,這說明即使是專家也有可能無法幸免于難。作惡者可以借個人身份信息威脅受害人,如將其相片發到網絡上。如果社交網站的成員快速更新了自己的所作所爲,或者對多個「跟隨者」作出了注釋,那麽這簡直就是在將其它的因素引入到社交網絡安全中,即物理安全。也許你並沒有跟別人說自己是誰、在什麽地方,但這並不能阻止別有用心的家夥知道你的信息。例如,將個人的太多信息(如出行信息或旅行計劃等)散布到網絡上,可能會導致入室行竊等的發生。由此可見,這會導致嚴重的物理安全問題。因此人人都不要輕易地將自己的信息發布到社交網站上。正如哈密爾和摩爾在黑帽大會上所演示的那樣,用戶甚至不必擁有要攻擊的社交網絡的配置信息,也不必擁有賬號,就可將他人的照片發送到互聯網上,並獲取在線的信息,構建令人深信不疑的信息。二、制造垃圾郵件和僵屍網絡垃圾信息制造已經成爲一種巨大的産業,廣告、單擊性欺詐、僵屍網絡需要有效地傳播其消息、惡意軟件(或二者兼而有之)的一種機制。攻擊者早已經如蛆蟲一樣進入了社交網絡社團,劫持用戶賬戶,並使用其地址簿傳播垃圾郵件、蠕蟲或其它的惡意軟件。可以看出,越來越多的惡意軟件被作爲附件放在了垃圾郵件中。在國外著名的社交網站中可以清楚地看到這一點。這種郵件的特點是將不明真相的人吸引到「特殊的」網頁中,如引誘用戶點擊一個精彩的視頻鏈接,而其實際上這是一個特洛伊木馬的下載鏈接,它會偷偷地將惡意軟件下載到用戶的計算機上,並將此計算機變爲僵屍網絡的成員。三、被改造的社交網絡應用程序用戶們並沒有過多地考慮將應用程序安裝到其浏覽器中的問題,不過,這些應用程序可能會獲得訪問用戶系統的能力,而用戶的一些極私密的信息可能存儲在其自身的系統中,其危險性顯而易見。不過,總有一些用戶認爲安裝這些應用程序沒有什麽了不起。這使得第三方的應用程序成爲攻擊者的一種簡易工具。此外,第三方的應用程序服務還使得基于代碼的攻擊獲得了途徑。但並不是說所有的社交網絡虛擬工具都是惡意的。如開放性社交網站opensocial向工具的開發人員提供了在其應用程序中限制惡意JavaScript的選擇,但不熟練的開發者卻不知道如何使用這些手段。這只是一些可選項,很少有開發者使用這種工具。最終結果是,對安全不敏感的開發人員可以構建應用程序,而其傳播速度也會如枯草上的野火一樣迅猛。四、個人信息與專業信息的交叉混雜即使用戶將A社交網站的賬戶信息用于私用,而將另外一個社交網站的賬戶用于專業性網絡,這也無法保證前者的圖片不會出現在後者的賬號中,甚至「跑」到老板的郵箱中。不妨考慮一下開放性的社交網絡,不管是圖片還是工作經曆,都可以成爲到處複制、粘貼的對象。五、跨站腳本攻擊或跨站請求僞造跨站腳本攻擊及跨站請求僞造漏洞是很顯明的攻擊工具,有一些社交網絡蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數社交網絡擁有對付跨站腳本攻擊的機制。而跨站請求僞造則尚未流行起來。跨站腳本攻擊和跨站請求僞造對社交網絡站點並未造成巨大的風險。在跨站腳本攻擊中,惡意的代碼被注入到有漏洞的Web應用程序中,查看這些網頁的用戶就會被「黑」。在跨站請求僞造中,攻擊者會欺騙用戶的浏覽器發出要求登錄的請求。要知道,在任何時候,攻擊者都可以強迫用戶加載HTML代碼,其潛在的威脅是攻擊者通過XSS/CSRF利用浏覽器的漏洞、感染僵屍網絡、並可操縱用戶賬戶。跨站請求僞造攻擊可以在多個社交網絡站點之間跳轉,而在用戶不斷登錄之時,這種攻擊能夠從一個社交網絡傳播到另外一個網絡。從總體上看,跨站請求僞造攻擊是一種被人們忽視的黑客行爲。六、身份竊取

簡言之,身份竊取指通過假裝爲另外一個人的身份而進行欺詐、竊取等,並獲取非法利益的活動。社交網絡的信息可透露一些頗有價值的內容,如受害者的姓名和出生日期。身份竊賊們可以用這些信息猜測用戶的口令或模仿這些用戶,並最終竊取其身份。

社交網絡的用戶有時在不經意間將自己的信息拱手讓給他人,他們可能將自己的郵件地址、出生日期、電話號碼等交給並不熟悉的所謂「網友」。

我們對社交網絡用戶的一條忠告是,不要回答網站提交的全部問題,或者不要提供自己真實的出生日期。用戶不必告訴網站自己真實的教育背景、電話號碼等,還要想方設法讓竊賊得到錯誤的其它敏感信息。

七、公司間諜

公司間諜活動在互聯網平台日益發展壯大的背景下也有增無減,雇員的個人信息也有可能使公司招致公司間諜風險。

例如,爲了實施釣魚攻擊,攻擊者所做的是在社交網絡站點上搜索公司的雇員,然後擺出一副公司老板或領導的姿態,如以人力資源部領導的身份出現,並向雇員發送電子郵件,如:「親愛的某某,恭喜你加入本公司。請單擊下面的鏈接訪問本公司的內聯網,並以你正常的用戶名和口令登錄,我們將根據你的信息更新配置文件。」尤其要注意的是,剛來公司上班的新人有可能會遭到這樣的欺騙。

對付這種間諜行爲的唯一辦法是告訴雇員要限制所公開的信息,並不要將雇主或老板的名字透露出去,這可以減少通過雇員攻擊公司領導及公司的機會。

總之,雇員需要知道,你在社交網絡上與不法之徒也許僅有一步之遙。要明白:在社交網站上總有一些黑手在搜索你的信息。與我們互聯的不僅僅是朋友,還有可能是豺狼。所以請謹慎地透露你的信息。

  如今,逢此「信息就在指尖」的互聯網時代,不少人都擁有自己的電子郵件、QQ號碼、MSN等與親朋好友聯系的通信工具,更有許多人在社交網站上注冊了自己的賬號,這無疑會極大地方便我們的工作與生活。但隨著利欲熏心的不法之徒盯上社交網絡,普通的用戶在上網時便面臨著巨大的「被黑」風險。   社交網絡重點在于構建有著共同興趣和活動的人們的在線社團,它也可以是對探索別人的興趣和活動感興趣的人員集合。許多社交網絡是基于Web的,並可向用戶提供交互的機會,如在文章開頭所談到的電子郵件和其它即時通信服務。  社交網絡的最大危險性在于損害個人的身份信息及其它信息。它可能會導致你的相片被發到某個成人網站,抵毀你的形象。也可能會導致你的網上銀行卡的機密信息被人竊取,還有可能在不知不覺之間將公司的商業機密「大白于天下」!  不要對此掉以輕心了,不要覺得這種事情不會發生在你或你的公司身上。社交網絡是網絡釣魚者、垃圾郵件制造者、僵屍網絡控制者、公司間諜謀取利潤的重要陣地,如果對其使用不慎,它甚至可輕易地葬送公司或個人的命運。  問題的根源在于社交網絡站點本身並不安全。一般情況下,這種站點並不對用戶進行鑒別,用戶無法完全確認在線的所謂友人的身份,而攻擊者可以輕易地利用社交網絡內的「可信任的」文化,從中大塊朵頤。但是,許多用戶並未啓用或部署這些站點所提供的某些安全和私密選項。  例如,社交網絡應用程序開發工具,如OpenSocial,還有一些第三方的工具可輕易地被攻擊者利用傳播惡意軟件或泄露個人私密信息。此外,還存在著公司間諜的真實風險,攻擊者可以輕易地利用網絡雇員的信息實施其它攻擊。而且,有些流行的Web攻擊方式,如跨站腳本攻擊,也可被用于對付社交網絡的成員。  千萬不要因爲你禁止家庭住址、電話號碼等私有信息而沾沾自喜,因爲這樣並不能使你免受安全威脅。在互聯網上並沒有什麽真正的私密。用戶只能延緩信息被泄露的風險。用戶需要將整個互聯網看作是一個所有資源都永存的平台。  針對社交網絡的攻擊才剛剛開始,因此在發布個人信息時請三思而後行,或者在接受並信任新的朋友時需要加倍謹慎。隨著攻擊者日益關注社交網絡,其攻擊將更加嚴重。事實顯示出,社交網站已成滋生網絡攻擊的溫床。  孫子說,知彼知已,百戰不殆。要對付社交網絡攻擊,先要對付這種攻擊,下面筆者談談攻擊者最陰險的七大社交網絡「黑技」:  一、身份假冒及針對性的個人信息攻擊  二、制造垃圾郵件和僵屍網絡   三、被改造的社交網絡應用程序  四、個人信息與專業信息的交叉混雜  五、跨站腳本攻擊或跨站請求僞造  六、身份竊取  七、公司間諜  下面逐個談談:  一、身份假冒及針對性的個人信息攻擊  不要認爲安全專家們沒有受到社交網絡威脅。近年來的社交網絡攻擊日益廣泛深入,許多社交網站的個人信息被發布到了其它網站上,這說明即使是專家也有可能無法幸免于難。作惡者可以借個人身份信息威脅受害人,如將其相片發到網絡上。  如果社交網站的成員快速更新了自己的所作所爲,或者對多個「跟隨者」作出了注釋,那麽這簡直就是在將其它的因素引入到社交網絡安全中,即物理安全。也許你並沒有跟別人說自己是誰、在什麽地方,但這並不能阻止別有用心的家夥知道你的信息。  例如,將個人的太多信息(如出行信息或旅行計劃等)散布到網絡上,可能會導致入室行竊等的發生。由此可見,這會導致嚴重的物理安全問題。因此人人都不要輕易地將自己的信息發布到社交網站上。  正如哈密爾和摩爾在黑帽大會上所演示的那樣,用戶甚至不必擁有要攻擊的社交網絡的配置信息,也不必擁有賬號,就可將他人的照片發送到互聯網上,並獲取在線的信息,構建令人深信不疑的信息。  二、制造垃圾郵件和僵屍網絡  垃圾信息制造已經成爲一種巨大的産業,廣告、單擊性欺詐、僵屍網絡需要有效地傳播其消息、惡意軟件(或二者兼而有之)的一種機制。攻擊者早已經如蛆蟲一樣進入了社交網絡社團,劫持用戶賬戶,並使用其地址簿傳播垃圾郵件、蠕蟲或其它的惡意軟件。  可以看出,越來越多的惡意軟件被作爲附件放在了垃圾郵件中。在國外著名的社交網站中可以清楚地看到這一點。這種郵件的特點是將不明真相的人吸引到「特殊的」網頁中,如引誘用戶點擊一個精彩的視頻鏈接,而其實際上這是一個特洛伊木馬的下載鏈接,它會偷偷地將惡意軟件下載到用戶的計算機上,並將此計算機變爲僵屍網絡的成員。  三、被改造的社交網絡應用程序  用戶們並沒有過多地考慮將應用程序安裝到其浏覽器中的問題,不過,這些應用程序可能會獲得訪問用戶系統的能力,而用戶的一些極私密的信息可能存儲在其自身的系統中,其危險性顯而易見。不過,總有一些用戶認爲安裝這些應用程序沒有什麽了不起。  這使得第三方的應用程序成爲攻擊者的一種簡易工具。此外,第三方的應用程序服務還使得基于代碼的攻擊獲得了途徑。  但並不是說所有的社交網絡虛擬工具都是惡意的。如開放性社交網站opensocial向工具的開發人員提供了在其應用程序中限制惡意JavaScript的選擇,但不熟練的開發者卻不知道如何使用這些手段。這只是一些可選項,很少有開發者使用這種工具。最終結果是,對安全不敏感的開發人員可以構建應用程序,而其傳播速度也會如枯草上的野火一樣迅猛。  四、個人信息與專業信息的交叉混雜  即使用戶將A社交網站的賬戶信息用于私用,而將另外一個社交網站的賬戶用于專業性網絡,這也無法保證前者的圖片不會出現在後者的賬號中,甚至「跑」到老板的郵箱中。不妨考慮一下開放性的社交網絡,不管是圖片還是工作經曆,都可以成爲到處複制、粘貼的對象。  五、跨站腳本攻擊或跨站請求僞造  跨站腳本攻擊及跨站請求僞造漏洞是很顯明的攻擊工具,有一些社交網絡蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數社交網絡擁有對付跨站腳本攻擊的機制。而跨站請求僞造則尚未流行起來。  跨站腳本攻擊和跨站請求僞造對社交網絡站點並未造成巨大的風險。在跨站腳本攻擊中,惡意的代碼被注入到有漏洞的Web應用程序中,查看這些網頁的用戶就會被「黑」。在跨站請求僞造中,攻擊者會欺騙用戶的浏覽器發出要求登錄的請求。  要知道,在任何時候,攻擊者都可以強迫用戶加載HTML代碼,其潛在的威脅是攻擊者通過XSS/CSRF利用浏覽器的漏洞、感染僵屍網絡、並可操縱用戶賬戶。  跨站請求僞造攻擊可以在多個社交網絡站點之間跳轉,而在用戶不斷登錄之時,這種攻擊能夠從一個社交網絡傳播到另外一個網絡。從總體上看,跨站請求僞造攻擊是一種被人們忽視的黑客行爲。  六、身份竊取   簡言之,身份竊取指通過假裝爲另外一個人的身份而進行欺詐、竊取等,並獲取非法利益的活動。社交網絡的信息可透露一些頗有價值的內容,如受害者的姓名和出生日期。身份竊賊們可以用這些信息猜測用戶的口令或模仿這些用戶,並最終竊取其身份。   社交網絡的用戶有時在不經意間將自己的信息拱手讓給他人,他們可能將自己的郵件地址、出生日期、電話號碼等交給並不熟悉的所謂「網友」。   我們對社交網絡用戶的一條忠告是,不要回答網站提交的全部問題,或者不要提供自己真實的出生日期。用戶不必告訴網站自己真實的教育背景、電話號碼等,還要想方設法讓竊賊得到錯誤的其它敏感信息。   七、公司間諜   公司間諜活動在互聯網平台日益發展壯大的背景下也有增無減,雇員的個人信息也有可能使公司招致公司間諜風險。   例如,爲了實施釣魚攻擊,攻擊者所做的是在社交網絡站點上搜索公司的雇員,然後擺出一副公司老板或領導的姿態,如以人力資源部領導的身份出現,並向雇員發送電子郵件,如:「親愛的某某,恭喜你加入本公司。請單擊下面的鏈接訪問本公司的內聯網,並以你正常的用戶名和口令登錄,我們將根據你的信息更新配置文件。」尤其要注意的是,剛來公司上班的新人有可能會遭到這樣的欺騙。   對付這種間諜行爲的唯一辦法是告訴雇員要限制所公開的信息,並不要將雇主或老板的名字透露出去,這可以減少通過雇員攻擊公司領導及公司的機會。   總之,雇員需要知道,你在社交網絡上與不法之徒也許僅有一步之遙。要明白:在社交網站上總有一些黑手在搜索你的信息。與我們互聯的不僅僅是朋友,還有可能是豺狼。所以請謹慎地透露你的信息。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有