网络犯罪分子通过社交媒体收集企业敏感信息

Sammi888

作者：趋势科技
庞大到媒体帝国，平民至便利商店，每家公司都纷纷将自己推到网络上，用最快也最具成本效益的方式来接触他们的客户。这是社交网络所带来的好处，也是企业们驻足的原因。但你知道社交网络对企业是有风险的吗？不管规模大小。
关于社交网络，中小企业应该知道的五件事



事实一
各种规模、类型的企业都在使用社交媒体。
并不只有大企业才使用社交媒体，小企业也会。在美国，大多数（58%）中小企业主会在社交媒体上展开活动并进行互动。注1
Facebook 上的公司网页对中小企业来说是排名最高的社交媒体渠道（29%），其次是在 Facebook 上互动或发布消息（23%），随后是在产业相关社群上互动（19%）。原因很简单，这些基本上都是免费的营销，只要有计算机和网络就可以了。
中小企业肯定能够通过社交媒体接触到大量消费者。跟据 ComScore 的统计，全球网民有 84% 会使用社交网络网站。注2大多数人会花五分之一的网络时间在社交网站上。在美国，社交网络的使用量几乎增加了一倍，而在中国也增加了一半（53%）。注3
事实二
越来越多人在工作时浏览社交网站。
在 Salary.com 最近一项关于浪费工作时间的全球调查中发现，几乎有三分之二的人（64%）承认自己在工作时访问与工作无关的网站。在这些网站中，Facebook 是最受欢迎的虚拟聚会场所（41%），其次是 LinkedIn（37%）。注4
这消息其实并不令人惊讶。事实上，一项趋势科技在美国针对 709 名受访者所做的 IT 信息安全人员的问卷调查中发现，有 54% 的员工在工作时因为个人原因使用社交媒体。而中小企业的员工中有超过五分之三这样做。注5



图一、用户是否会因为个人原因在工作时使用社交媒体的比例
46% 的人：在工作时不会因为个人原因使用社交媒体
54% 的人：在工作时会因为个人原因使用社交媒体
事实三
社交网络威胁即使对小型企业也是一视同仁。
中小企业应该要知道，不管是大是小，它们都不能幸免于社交媒体威胁。中小企业员工就和其他大部分用户一样，也会落入社交媒体上的恶意陷阱。




假冒的 WhatsApp Facebook 网页>诈骗信息显示其他应该是 WhatsApp 的用户>网页重定向到伪造的星巴克营销网页>假冒 Facebook 版 WhatsApp 网页
举例来说，2012 年 8 月在 Facebook 上流传的伪造的 WhatsApp 应用程序。注6这个攻击会将受害者重定向到到一个假冒的 WhatsApp Facebook 网页，并要求授权给应用程序。一旦用户开放权限，网页会出现其他应该是 WhatsApp 应用程序的用户，并重新重定向用户协议网页。就跟山寨版 Instagram 和 Angry Birds Space 等应用一样，这威胁似乎是针对手机用户的。
另一个相关的威胁，我们也看到有伪装成 WhatsApp Messenger 访问用户好友联系数据的攻击。这类诈骗攻击最终会将自身散播给受害者的朋友。
员工们不一定要浏览社交网站才会成为社交媒体攻击下的牺牲品。一个出现在 2012 年 9 月的类似攻击，会诱骗垃圾邮件收件人访问伪造的 LinkedIn 邀请链接，将他们重定向到藏有黑洞漏洞攻击包的网站。注7黑洞漏洞攻击包被用在全世界的垃圾邮件攻击中，而且以可针对计算机上有弱点的程序来定制进行攻击而著称。
事实四
网络犯罪分子可以通过社交媒体收集企业及员工的敏感信息。
如前所述，越来越多员工会在工作时使用社交网站。而网络犯罪分子也会利用这个现象，就是企业会利用社交媒体跟客户还有潜在客户沟通。
只要简单地追踪公司和员工在社交网络上的习惯，网络犯罪分子就能够轻易地收集组织想要保持机密的信息。注8只要汇集 Twitter 上的推文、博客文章，以及粗心大意员工的状态更新，就可以整理出不经意流露出的公司机密，例如关键人物的身份，甚至财务状况和内部问题。
事实上，趋势科技的问卷调查显示，有 57% 的中小企业员工会在社交网络上透露公司问题。注9除非采取动作，不然公司员工可能会将机密数据泄漏给几乎任何人，包括网络犯罪份子，仅仅只是因为发布了一条状态更新而已。
事实五
工作时使用社交网络应加以规范，以保护你的企业免受攻击。
社交网络会让中小企业暴露出特定的弱点。因此必须采取特殊措施来确保关键业务数据不被外泄。中小企业无论大小，都必须制定在工作场所使用社交媒体的正式政策。
然而仅仅制定政策是不够的，还需要严格执行。员工们必须了解使用社交媒体的最佳作法，以及如果不当使用的可能后果。注10
必须制定清楚简洁的准则，没有丝毫疑问或错误的空间。请记住，就算只是在任何社交网站犯下小小的错误，都会让企业容易遭受攻击，也可能导致声誉受损。
你要如何保护你的业务？
社交网络如 Facebook、Twitter 和 LinkedIn 就在那里。想要保护好业务，你该做的就是让员工了解最佳作法和准则，以将社交媒体所带来的风险降到最低：
•        了解员工使用社交网络的状况。根据趋势科技的研究，55% 的中小企业员工认为浏览网络是没有限制的。注11利用针对中小企业的趋势科技 Worry-Free Business Security来管理员工的网络使用状况，可以防止员工浏览不恰当的网站和下载恶意文件。同时还可以监控员工在每天特定时刻的网络使用状况。
•        为员工提供易于遵循的准则。不管是不是允许在工作时间使用社交网络，员工都需要知道关于公司的哪些消息是可以发布的，以及谁可以发布什么样的消息。在建立公司的社交媒体准则时，请注意以下几点：
•        保持道德准则，提醒员工他们是由公司雇用或付薪水的。
•        提醒客户只能通过电子邮件或私信功能分享个人信息。让他们知道，如果有关于泄漏机密信息的相关问题时，可以到哪得到帮助。
•        明智地参与社交网络。只发布适合广泛传播，符合业务目标的信息。同时也提醒员工不要在网络上分享过多个人信息。
•        提醒员工不要点击陌生人分享的可疑链接。
•        定义什么是机密。在你的信息安全策略里，机密商业信息的保密协议必须要涵盖社交网站，例如 Facebook、LinkedIn、Twitter 等。
⊙原文来源：
http://www.trendmicro.com/cloud- ... lessons-learned.pdf
⊙批注：
1.        http://www.smb-gr.com/wp-content ... keting_Overview.pdf
2.        http://www.comscore.com/Insights ... d_Worldwide_in_2012
3.        http://www.brandchannel.com/imag ... dia_report_1212.pdf
4.        http://www.salary.com/wasting-time-at-work-2012/slide/3/
5.        http://www.trendmicro.com/cloud- ... ts/rpt_trend-micro_ ponemon-survey-2012.pdf
6.        http://blog.trendmicro.com/trend ... tsapp-for-facebook/
7.        http://about-threats.trendmicro. ... %20using%20linkedin
8.        http://about-threats.trendmicro. ... l%20media%20threats
9.        http://www.trendmicro.com/cloud- ... ts/rpt_trend-micro_ ponemon-survey-2012.pdf
10.        http://about-threats.trendmicro.com/ebooks/socialmedia-101/#/1/






本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro

maomao110

AVG官人也该和你一样  没事发发安全报告

ws1234

不社交，不维信，专心做宅男！