公司产品营销经理在某职业社交网站贴了张照片,结果照片背景中的一张便利贴上居然写着他的网络登录口令。或许肉眼难以看清,但AI(人工智能)算法可以。利用AI算法,黑客可以扫描公开渠道可得的图像,确定有没有网络口令,然后用这些口令来进行数据窃取。
对安全专家而言,这不是什么高精尖的科学。事实上,AI程序比搜索引擎还容易使用。“AI能识别图像中的物体和照片上的环境,猜测图片内容描述和对象可能的年纪、性别、表情等等。而且这些工具还会随着扫描图像的增多而更加强大,不断学习,更加精确。”
对员工来说,脸书、推特、领英、微博这类网站可能很容易被归类为无害的,但对黑客而言,这些网站就是可行性情报宝库。
终端安全公司Avecto高级安全工程师詹姆斯·茂德,揭示了社交媒体黑客的另一个恼人发展。黑客现在可以扫描推特馈送以找出雇员品味和偏好的相关信息。如果上文提及的那个产品营销经理成天晒他的新 iPhone 7,黑客就能做一封看起来像是 iPhone 7 产品声明的钓鱼诈骗邮件。有这么明晃晃的钓饵摆在那儿,骗局想不成功都难。
社交媒体和个人电邮的精准定位,绕过了很多电子邮件扫描和URL过滤之类的网络防御措施。最危险的方面之一,是攻击者用聘书或非法内容玩弄受害者,引导受害者向其公司安全团队报告安全事件。
当然,部分问题在于社交媒体就是个巨大的攻击界面——有史以来最大的。Facebook拥有17.9亿用户。推特用户数3.17亿。商业环境下很难找出不使用社交媒体的人。就像飞蛾扑火,黑客知道他们能找到贴出高度敏感数据的轻信受害者。
黑得容易?
社交媒体黑客也依赖老旧技术——IT自动化公司UpGuard共同创始人麦克·鲍克斯如是说。因为Facebook之类的网站被很多用户认为是“消费级”的,雇员很少考虑到安全性,所以他们懒得使用双因子身份验证。而且,有可能不安全的无数第三方App往往也能获得雇员的授权。
这就让黑客太容易得手了,尤其是在用户忘了自己都给哪些站点授权发布信息和连接到其他服务的情况下。黑客可能闯不进某个推特账户,但若哪个不太安全的门户站点存了你的身份验证数据,事情就方便多了。
另一个攻击例子太常见了,可能很多员工身上已经发生过了。黑客使用从雇员社交媒体上挖下来的照片来发送钓鱼信息。因为你看到的是自己的照片,很自然地就会点击。安全账户管理公司Thycotic全球策略联盟主管约瑟夫·卡尔森称,点击这些邮件会将用户引导至某个网站,让他们授权对登录凭证的访问(通常是通过虚假“口令重置”花招)。
该做什么?
大多数顶级社交媒体服务,比如推特和Facebook,提供双因子身份验证。所以,雇员应该被教导该怎样启用这些功能。然后,必须提醒雇员超级小心交出凭证给任何第三方站点。共享登录就是安全噩梦。
理解被黑社交媒体数据是怎么被利用的也很重要。自拍照扫描案例中,敌人可能将抽取出的地理位置和性别等数据用于广告目的。雇员需要理解社交媒体会泄露公司的数据宝藏,被黑客用于恶意目的。
用户应被告知怎样监测自己社交媒体活动的异常改变。比如说,如果你平时使用Facebook且从不退出登录,那么突然毫无理由地弹出让你登录的框框就有可能是被黑的迹象——用户应报告这些改变。
Tweetdeck或HootSuite这种第三方网站也是关注重点。雇员往往在主社交媒体站点使用了强口令,却对这些仪表盘使用了弱口令,这是不对的。于是,另一个最佳实践就是:决不接受陌生人的加好友请求。Facebook估算,至少2%的用户账户是假的。推特报告称,至少5%的用户账户为虚假账户。
将社交媒体视为开放黑客门户是一大诱惑,这里面还有几分合理性。钓鱼者、黑客、装腔作势者都在爬取这些站点。他们能提供真切的商业价值,不会在短时间内消失。所有专家都认同:培训是关键。用户应该知道沦为社交媒体黑客的受害者是多么容易。
作者 王小瑞
声明:本文内容和图片仅代表作者观点,不代表蓝时代网立场。蓝时代 » 黑客如何通过社交媒体入侵企业