玩社交媒体应该非常警惕

我们多次强调过:不要参与社交网络上流行的测试小游戏。它们很可能是陷阱。但是那些测试结果的页面依旧在刷屏。人们真的需要教训才能学到保护意识吗?那样会不会太晚了?

我们都在微信和 Facebook 上看到过那种东西,甚至可能自己也做过:病毒式传播的社交媒体测试游戏。其内容都是一些人们可能不了解的关于你的有趣事实甚至内心所想。

虽然它们看起来很无辜,但是,这些社交媒体测验完全可以让你成为攻击者的十字准线,包括现实攻击和在线攻击。它们是敏感数据过度共享的一个典型例子,随着社交媒体的出现,这类数据的暴露越来越猖獗

更多请查看:《哪些话你永远不应该在社交网络上说?》

过度分享不仅限于那些测验小游戏或趋势。在某些情况下,公开发布假期、家庭、个人身份信息(PII)或您的实际位置,都极其可能会使您面临风险。

大多数人都知道不应该发布自己的信用卡照片、或者披露敏感的财务信息登录凭证,但是,依旧有很多人会在社交媒体上发布自己的电话号码、家庭住址等等。毕竟,网络鼓励用户填写他们的个人资料中的每个可能字段,包括一些非常敏感的字段。这是尤其危险的

攻击者可以通过三种主要方式使用此数据:

暴力破解密码 — — 

攻击者会查找可用于猜测密码的任何信息。通常情况下,这些信息甚至并不需要太多。2016 年最常用的密码是“123456”,紧跟的就是“123456789”。攻击者可以简单地尝试前25个最常用的密码,并在50%的时间内成功。

密码通常只是稍微复杂一点,宠物的名字或街道名称与“123”配对。攻击者使用自动化工具来测试关键词组合 — 您可能在社交网络个人资料中找到人们心甘情愿披露的内容 — 快速猜测到成千上万的密码组合。

攻击者还使用通过过度共享收集的数据来猜测安全问题,并以这种方式入侵帐户。安全问题通常都包括你的第一只宠物的名字,你长大的街道名字,你高中时的吉祥物,你最喜欢的作家或你的童年英雄等等。它们听起来就像病毒式的社交媒体测验问题,不是吗?

社交工程攻击 — — 

您在社交媒体上发布的任何信息都可能被攻击者用于制作社交工程攻击。有了您的个人信息,攻击者就可以为您定制看似合法的钓鱼邮件。

例如,如果一个攻击者知道你去过 Radiohead 的音乐会,那么钓鱼消息就是:“你看过 Radiohead 最新的主打歌曲吗?今天刚刚放出!“将有更高的成功机会。攻击者利用这种策略将用户引诱到网络钓鱼页面和恶意软件上。

还可以使用虚假帐户冒充你认识的人,或者更好的是,你的联系人的真实帐户被劫持,该消息将更加有效。对于攻击者来说,这些都是额外的好处。

物理盗窃 — — 

人们喜欢张贴他们度假的照片。如果攻击者知道您居住的地方 — — 在社交媒体时代能轻松搞到这样的信息,特别是如果您在自己的个人资料中列出了、或者启用了帖子的地理位置、或者曾经在您家中或周围拍摄的照片,使用OSINT定位法 — — 攻击者就可以利用它们得到想要的任何信息。

我们并不是主张你完全停止在社交媒体上发帖。相反,要小心你所分享的内容,并在将这些信息传播到社交媒体的公共论坛之前,先考虑一下潜在的后果。

尤其是以下内容:

  • 小心社交媒体测验,最好不要参与任何测试小游戏 — — 那些游戏总是在调动人们的超个人主义情绪和自我优越感,比如“你是三国里哪位人物?”,或者“你最合适的女朋友是什么样的人?”等等,而需要你填写的那些问题往往完全无法得出测试游戏标榜的目的。正相反,你一定会想要知道正确答案,于是填写的内容基本都是真实的,这些数据将被卖给你完全不可能知道是什么东西的买家。其中就包括社交工程师。

  • 即使网络鼓励您完成问答式的填写,也不要在您的个人资料中披露任何敏感信息。包括电话号码,地址,生日等等。如果必需填,那就写假的。

  • 发布任何照片前请审核一下图像中的内容。你能在桌子上看到你的信用卡吗?您的重要地址门牌号、路牌是否能在后面可见?如果有,切勿发布在网上。

  • 谨防欺诈,例如通过非官方网站分发的优惠券和促销活动。

  • 诈骗网站通常缺少 SSL(或TLS)网站证书,这几乎是每个网站的标准,特别是那些要求凭据或信用卡信息的网站。这一直是一种方法,通过这种方法,消费者可以确信该网站是合法和安全的,如“https”标识所示,并且许多浏览器不以绿色显示。如果该站点没有 SSL / TLS 网站证书且未加密您的信息,则该站点可能并不安全,不要信任。

  • 确保在社交媒体帐户可用时启用双因素身份验证。如果恶意页面窃取您的凭据,这又提供了另一个保护屏障。现在,许多社交网络都需要在检测到尝试访问您帐户的新浏览器或设备时将验证代码发送到您的手机或电子邮件。但是手机验证明显是不安全的。

  • 谨防社交媒体上的链接。将鼠标悬停在它们上方以获得预览,并仔细查看模仿网址和其他相似的字符。如有疑问,请将链接复制到免费分析工具,如 VirusTotal

  • 如果有人提示您下载并安装应用程序或文件,请保持清醒。移动应用程序只能从规范的应用程序商店下载,任何其他应用程序都不应受信任。

  • 确保您的防病毒软件在您的设备上保持最新,无论是PC,Mac还是移动设备。

  • 你关注什么人一定要谨慎。关注可疑账户会增加您遭受社交媒体诈骗的机会,即使是良性账户也可能被诈骗者劫持或出售给诈骗者!我们已经多次发现疑似 troll 与著名异议人士的关联紧密,这是非常危险的。

  • 即使经过验证的连接关系也有可能会向您发送可疑的内容,也请不要点击,因为他们的帐户可能已被黑客入侵。请通过其他渠道与他们联系,以验证邮件是否合法。

  • 总之,在社交媒体上小心点击!如果看起来很可疑,那可能就是。见这篇,关于盗取名人账户进行诈骗的调查案例《演示:对 Elon Musk Bitcoin 诈骗的开源调查

如果所有链接都不点击,您显然已经失去了大多获得知识和资讯的机会。事实上您完全可以随意点击查看内容,而不会被恶意侵犯,具体做法详见《如何隔离危险》。

All Those Innocuous Social Media Quizzes are Hacker Goldmines: all be careful what you click on social media! If it looks suspicious, it probably is.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据