微軟公司上周發(fā)布的一份安全報(bào)告指出，隨著在線詐騙方式的日趨多樣化，社交網(wǎng)絡(luò)已經(jīng)成為滋生網(wǎng)絡(luò)犯罪分子的溫床。

　　現(xiàn)在無論是國外的Facebook、Twitter還是國內(nèi)的開心網(wǎng)等SNS類社交網(wǎng)站，正在越來越多的被各大企業(yè)公司所接受并用于網(wǎng)絡(luò)商業(yè)推廣，而惡意攻擊者也看中了社交類網(wǎng)站的廣泛傳播性。

　　在微軟的安全報(bào)告中稱，2010年社交網(wǎng)絡(luò)“釣魚”攻擊增長了1200%。據(jù)微軟統(tǒng)計(jì)，利用社交網(wǎng)絡(luò)的“釣魚”攻擊占到2010年12月份釣魚攻擊總數(shù)的84.5%，而2010年1月份這一數(shù)字僅為8.3%。從數(shù)據(jù)上我們明顯可以看出，社交網(wǎng)絡(luò)釣魚攻擊增速迅猛。

　　“釣魚攻擊”一般會(huì)冒充合法信息吸引網(wǎng)絡(luò)用戶點(diǎn)擊惡意鏈接，購買流氓軟件，或者泄露個(gè)人信息。對(duì)于中國用戶，以前經(jīng)?？吹降摹膀v訊十周年中獎(jiǎng)”之類的惡意欺詐就屬于釣魚攻擊的一種，而這種釣魚欺詐很容易在社交網(wǎng)絡(luò)中再現(xiàn)。

　　現(xiàn)在，許多企業(yè)用戶落戶社交網(wǎng)站，利用社交網(wǎng)絡(luò)進(jìn)行自我推廣，甚至是通過社交網(wǎng)絡(luò)舉辦各類商業(yè)推廣活動(dòng)。對(duì)于惡意攻擊者而言，這為發(fā)起釣魚攻擊奠定了很好的基礎(chǔ)。

　　讓我們?cè)O(shè)想一個(gè)最簡單的社交網(wǎng)絡(luò)釣魚攻擊事例吧。某著名公司通過社交網(wǎng)絡(luò)發(fā)起有獎(jiǎng)活動(dòng)，惡意攻擊者會(huì)首先假造一個(gè)完全相似的釣魚頁面，然后通過SEO毒化，讓該假冒鏈接位于搜索結(jié)果最前列位置，同時(shí)對(duì)真正的活動(dòng)網(wǎng)址發(fā)起攻擊，使其無法正常訪問，誘使用戶進(jìn)入釣魚頁面。此時(shí)，惡意攻擊者一方面可以獲取用戶的注冊(cè)資料，一方面可以發(fā)起進(jìn)一步的欺詐攻擊。而對(duì)于企業(yè)用戶而言，這無疑會(huì)對(duì)其造成嚴(yán)重的負(fù)面影響。

　　另一方面，在企業(yè)局域網(wǎng)內(nèi)，經(jīng)常會(huì)有員工通過企業(yè)網(wǎng)絡(luò)登錄社交網(wǎng)站。這意味著，一旦企業(yè)員工遭遇了社交網(wǎng)絡(luò)釣魚攻擊，那么就可能將惡意攻擊的影響帶入企業(yè)網(wǎng)絡(luò)內(nèi)部，使得企業(yè)網(wǎng)絡(luò)無法正常工作。而對(duì)于APT類攻擊的發(fā)起者，還會(huì)通過觀察企業(yè)員工在社交網(wǎng)絡(luò)的活動(dòng)規(guī)律，逆向找到侵入企業(yè)網(wǎng)絡(luò)的路徑。

　　對(duì)于企業(yè)而言，社交網(wǎng)絡(luò)猶如一把雙刃劍。利用的好，則有利于企業(yè)的進(jìn)一步推廣宣傳，否則，社交網(wǎng)絡(luò)反倒會(huì)成為惡意攻擊者入侵的便捷通道。無論企業(yè)是主動(dòng)利用還是被動(dòng)接觸社交網(wǎng)絡(luò)，都需要提前做好安全防護(hù)。

    （編輯：Jesse）