社交媒体怎样让您面临网络钓鱼风险

对于希望对目标发起可信攻击的攻击者来说,社交媒体资料是最有用的工具之一。 在这个分享(以及过度分享!)的时代,一个 Facebook, Instagram, 要么 Twitter profile 可以显着增加利用从您的在线足迹收集的信息成功进行网络钓鱼攻击的风险。 在这篇文章中,我们将探讨攻击者怎样利用社交媒体来增加他们针对目标的成功机会,以及怎样保护自己免受这些计划的侵害。

你没有意识到你正在发布的数据

一个不幸的事实是,许多互联网用户认为在社交媒体上发布内容没有任何害处,即使是他们最有价值的个人信息。 社交媒体网站鼓励用户输入敏感信息,例如出生日期、电话号码、城市、与其他用户的家庭关系等等。 如果用户选择公开此信息(或没有注意到该网站默认公开),则攻击者可以轻松地执行网络钓鱼或社会工程攻击,通过包含这些个人参考信息更可信。 由于面部识别算法和在每张照片中标记每个人的朋友,即使他们的外表也不安全。 随着时间的推移,用户通常会在不知不觉中描绘出可以用来对付他们的个人生活的详细画面。

攻击者怎样使用这些数据?

我们来讨论一个实用的 example 可以使用此数据执行的攻击。

攻击者可以创建一个虚假的赠品资料,声称他们提供免费游轮、假期、餐厅用餐或其他服务,而读者所要做的就是在网站上输入他们的姓名和电子邮件进行注册。 攻击者可以支付 20-50 美元来提升帖子,并且通常会从那里传播开来。 在配置文件被关闭之前(如果有的话),他们可以积累数百或数千个姓名/电子邮件组合。 从那里,攻击者查找个人资料并通过它挖掘已公开发布的个人信息。 然后,他们可以制作定制的攻击来钓鱼密码、勒索钱财,甚至敲诈勒索。 通过声称自己认识他们的朋友 X 或为 [Local City] 税务局,甚至是在他们收养了他们的狗 Scruffy 的动物收容所工作的人,攻击者可以通过这些个人参考来增加他们的声明的可信度。

如果攻击者能够通过这种攻击来钓鱼密码,他们可以走得更远,劫持受害者的​​社交媒体资料——如果他们的电子邮件帐户使用相同的密码,那么也是如此。 然后,攻击者可以通过电子邮件和私人消息向受害者的朋友发送恶意链接。 通过构造良好的消息,攻击者可以欺骗朋友继续攻击并交出他们的密码。

由于社交媒体网站缺乏监督,这种类型的攻击可以完全在网站上发起和复制,而无需使用电子邮件或电话诈骗等传统途径。

你能做些什么来保护自己?

随着攻击者将他们的影响力扩展到社交媒体并且几乎没有采取任何措施来阻止他们,读者必须采取措施尽量减少他们接触这些计划的机会。

最简单的解决方案是根本不使用社交媒体,但在一个来自朋友、家人或雇主压力的高度互联世界中,完全删除社交媒体可能不切实际。 如果您必须拥有个人资料,请将其设为私有并将您的帖子设置为仅对您的朋友可见。 提供有关您的出生日期、城市/州和电话号码的虚假或模糊信息。 如果您必须提供电话号码进行帐户验证,请下载“刻录机”应用并使用临时号码。 对于多重身份验证,请使用 Google Authenticator 或 Duo 等受信任的应用,不要使用 SMS 代码。

总之,社交媒体可以成为与亲人保持联系的宝贵资源,但它也是攻击者轻松获取受害者个人信息的金矿。 使用这些提示来保护自己并分享此帖子以提高您的朋友和家人的认识。