网络安全 频道

微博Twitter危机四伏 如何应对欺诈威胁

  就象欺骗行为最早出现在电子邮件中一样,接着它在即时通讯时也出现了,而现在的Twitter上则是属于必将发生问题的领域了。对于攻击者来说现在进行攻击是最好的机会,可以获得最大的利益。 

  即使是通过消息或者Tweets(个人Twitter助理)进行交流,快捷网络地址也可以让它更容易受到攻击。不过,幸运的是,Twitter拥有一个额外的优势,用户可以选择和我们的tweets进行交谈的人。这项功能大大减少了面临的风险,原因很简单,因为你可以确认是谁发的电子邮件。

  好吧,但情况也许不是看上去这么乐观

  我刚刚读完华盛顿邮报上一篇由布赖恩·克雷布斯撰写的文章,题目为《Twitter在安全方面存在漏洞导致可能出现帐户被劫持的情况》。看起来,假冒Twitter的信息并不是什么困难的事情。克雷布斯援引来自兰斯·詹姆斯,一名安全研究人员并且是《网络钓鱼攻击暴露出的问题》一文作者的说法:

  “任何人都可以利用my-cool-sms.com或者phonytext.com之类的短信息欺骗服务通过Twitter帐户的验证,并成功地实现对帐户的劫持。这些网站容许用户隐藏实际的电话号码,而在短信上显示输入的任何电话号码,让用户看起来好象出现在外地一样。”

  这下好了,Twitter唯一优点可以同时使用即时通讯工具和电子邮件,被完全否定了。不难看出,网络钓鱼和攻击者的目的是想利用欺骗短信中的快捷网址将受害者重定向到恶意网站上。

  来自移动网络运营商的帮助

  克雷布斯提到的一个很有帮助的现象是,只有当攻击者位于美国以外的地方时,才能进行短信诈骗活动:

  “Twitter的共同创始人毕兹·斯通在一封电子邮件中提到过这个问题。在美国,[移动]运营商拥有自己的欺骗短信拦截系统。实际上,大多数总部设在美国的移动运营商都已采取有效措施来阻止其网络上的短信诈骗行为。但,对于国际范围的移动网络来说,通常情况并不是这个样子的。”

  看起来,美国属于少数通过法律强制移动运营商打击短信诈骗行为的国家之一。这样做的效果很好,但是Twitter中的欺骗信息还是可以来自全球各地任何其它地方。我将提供两个关于大多数网络钓鱼和恶意软件攻击发源地的猜测,但对于第一个将不会详述。

  攻击原理概述

  H Security(一家德国安全公司)证实,关于短信诈骗的工作原理已经出现在一篇文章中,它的题目为《在英国和德国出现修复主题的Twitter欺骗行为》。文章中对攻击过程进行了详细说明:

  “在英国,我们可以把移动电话和Twitter帐户进行关联。这样的话,只要获得移动电话的号码,并把它添入PhonyText网站上的发送人项,发送短信到tweets负责发送信息的英国号码447624801423上,就可以看到信息出现在tweets的honline页面上。”

Twitter危机四伏 如何应对欺诈威胁

  该文就这样会造成什么样的后果进行了分析:

  现在,我们就可以取消移动电话和Twitter帐户之间的关联了。攻击者就可以创建一条包含恶意网站内容的信息,给网络上的其它用户带来风险,还可以发布虚假信息,破坏帐户拥有者的名声。”

  这意味着什么

  首先,来自Twitter的欺骗信息对错误处理系统通常情况下正在进行的处理带来了压力。实际上,在Twitter信息中快捷网络地址的应用是非常普遍的,这导致它可以很方便地绕过系统的监测。

  短信欺骗和快捷网络地址攻击带来的损害非常明显,恶意软件被安装到受害者的计算机上,敏感的财务信息可能遭到窃取。还有一个非常可怕的恶意行为,可以出现在Twitter帐户上,它就是无限短信。只要选择Twitter支持页面中标注出来的怪物电话帐单,就可以方便地进行相关操作。

  “Twitter不会向你收取任何费用,通过短信使用Twitter的花费情况取决于你的短信套餐。标准的短信(举例来说国际短信费用)费用是不是适用于这种情况。请咨询服务供应商,确保短信套餐里包含了Twitter的使用。

  如果你采用的是我们所说的国际号码,就应该向服务供应商提供将使用在Twitter上的电话号码,以便确认是否会发生额外的费用。如果你在美国之外的地方使用Twitter的话,请咨询服务供应商,因为每个服务供应商提供的服务都是不一样的。”

  结 论

  对于遍布全世界的网络钓鱼者和恶意代码作者来说,跟随新技术的发展,在新领域进行欺骗行为是很正常的事情。但是,我从读过的读者回复中发现,他们找到漏洞的难度变得越来越大。这样的现象是非常值得庆祝的,应当鼓励所有的人一起努力,将互联网还原为一方净土。

  尽管这样,我们还是应该提高警惕并保持重视,毕竟只要有利益就会有犯罪行为的出现。

0
相关文章