正如哈密爾和摩爾在黑帽大會上所演示的那樣,用戶甚至不必擁有要攻擊的社交網絡的配置信息,也不必擁有賬號,就可將他人的照片發送到互聯網上,並獲取在線的信息,構建令人深信不疑的信息。
二、制造垃圾郵件和僵屍網絡
垃圾信息制造已經成為一種巨大的產業,廣告、單擊性欺詐、僵屍網絡需要有效地傳播其消息、惡意軟件(或二者兼而有之)的一種機制。攻擊者早已經如蛆蟲一樣進入了社交網絡社團,劫持用戶賬戶,並使用其地址簿傳播垃圾郵件、蠕蟲或其它的惡意軟件。
可以看出,越來越多的惡意軟件被作為附件放在了垃圾郵件中。在國外著名的社交網站中可以清楚地看到這一點。這種郵件的特點是將不明真相的人吸引到“特殊的”網頁中,如引誘用戶點擊一個精彩的視頻鏈接,而其實際上這是一個特洛伊木馬的下載鏈接,它會偷偷地將惡意軟件下載到用戶的計算機上,並將此計算機變為僵屍網絡的成員。
三、被改造的社交網絡應用程序
用戶們並沒有過多地考慮將應用程序安裝到其浏覽器中的問題,不過,這些應用程序可能會獲得訪問用戶系統的能力,而用戶的一些極私密的信息可能存儲在其自身的系統中,其危險性顯而易見。不過,總有一些用戶認為安裝這些應用程序沒有什麼了不起。
這使得第三方的應用程序成為攻擊者的一種簡易工具。此外,第三方的應用程序服務還使得基於代碼的攻擊獲得了途徑。
但並不是說所有的社交網絡虛擬工具都是惡意的。如開放性社交網站opensocial向工具的開發人員提供了在其應用程序中限制惡意JavaScript的選擇,但不熟練的開發者卻不知道如何使用這些手段。這只是一些可選項,很少有開發者使用這種工具。最終結果是,對安全不敏感的開發人員可以構建應用程序,而其傳播速度也會如枯草上的野火一樣迅猛。
四、個人信息與專業信息的交叉混雜
即使用戶將A社交網站的賬戶信息用於私用,而將另外一個社交網站的賬戶用於專業性網絡,這也無法保證前者的圖片不會出現在後者的賬號中,甚至“跑”到老板的郵箱中。不妨考慮一下開放性的社交網絡,不管是圖片還是工作經歷,都可以成為到處復制、粘貼的對象。
五、跨站腳本攻擊或跨站請求偽造
跨站腳本攻擊及跨站請求偽造漏洞是很顯明的攻擊工具,有一些社交網絡蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數社交網絡擁有對付跨站腳本攻擊的機制。而跨站請求偽造則尚未流行起來。
跨站腳本攻擊和跨站請求偽造對社交網絡站點並未造成巨大的風險。在跨站腳本攻擊中,惡意的代碼被注入到有漏洞的Web應用程序中,查看這些網頁的用戶就會被“黑”。在跨站請求偽造中,攻擊者會欺騙用戶的浏覽器發出要求登錄的請求。
要知道,在任何時候,攻擊者都可以強迫用戶加載HTML代碼,其潛在的威脅是攻擊者通過XSS/CSRF利用浏覽器的漏洞、感染僵屍網絡、並可操縱用戶賬戶。
跨站請求偽造攻擊可以在多個社交網絡站點之間跳轉,而在用戶不斷登錄之時,這種攻擊能夠從一個社交網絡傳播到另外一個網絡。從總體上看,跨站請求偽造攻擊是一種被人們忽視的黑客行為。
