Facebook HTTPS: Hamis biztonságérzet?

A Facebook új Hypertext Transfer Protocol Secure titkosításának bevezetése véget ér. (Az Elinor Mills a múlt héten az InSecurity Complex blogjának egy hozzászólásában írta le ezt a funkciót.) Míg a titkosítás üdvözlendő a szociális hálózathoz, messze van a Facebook biztonsági panaceajától.

A titkosítás engedélyezéséhez a Facebook-on kattintson a jobb felső sarokban lévő Fiók elemre, és válassza a Fiókbeállítások lehetőséget. Az aktuális beállítások megtekintéséhez válassza a Fiókbiztonság melletti Módosítás lehetőséget. Ellenőrizze a Biztonság böngészés (https) opciót. Előfordulhat, hogy a "Küldés nekem egy e-mailt" pontot a "Amikor egy új számítógép vagy mobil eszköz bejelentkezik ehhez a fiókhoz" címmel ellenőrizheti, hogy figyelmeztesse-e a fiókjához való jogosulatlan hozzáférést.

Nagyszerű, hogy a Facebook lépéseket tesz annak érdekében, hogy megvédje ügyfeleit a csalóktól és az azonosító tolvajoktól, de csak annyira van, hogy a cég vagy bármely webszolgáltatás meg tudja akadályozni a snoopokat és a rosszindulatú szoftvereket. A Facebook esetében a gyenge kapcsolat lehet játékok és más, titkosítatlan alkalmazások.

A hét elején Graham Cluley, a Sophos biztonsági kutatója a Naked Security blogjában írt két diák által felfedezett Facebook hibáról. Cluley szerint a rosszindulatú programok egy olyan alkalmazást utánozhatnak, amely engedélyt kapott az adatokhoz való hozzáférésre, és közzéteszi a falára az adathalász támadások elindítására és a vírusok és trójaiak terjesztésére.

A kutató eredetileg nem tudta megismételni a támadási módszert, mert a Facebook biztonsági beállításai „nagyon merevek” voltak, de a beállítások csökkentése lehetővé tette számára, hogy hozzáférjen a fiókjához az átveréses alkalmazás segítségével.

2009 augusztusában leírtam, hogyan módosíthatom az alapértelmezett Facebook biztonsági beállításokat a szolgáltatás biztonságosabbá tétele érdekében. Az adatvédelmi beállítások azóta is kissé megváltoztak, de a Facebook biztonságának megerősítésére irányuló lépések közel azonosak. A Facebook saját szabályozói megosztása oldal részletesebben a szolgáltatás biztonsági beállításaira kerül.

Cluley arról számol be, hogy a diákok értesítették a Facebook biztonsági tisztviselőit a hibáról, és javították. De ahogy a Sophos kutatója rámutat, egy olyan komplex rendszer, mint a Facebook, biztosan tartalmaz más hibákat, amelyek közül néhányat a rosszfiúk kihasználhatnak.

Az adathalászok által célzott Facebook-felhasználók

Ahogy elvárható, a Facebook sikere az internetes csalók kedvenc célpontjává tette. A Panda Security biztonsági gyártója a közelmúltban jelentett be két új rosszindulatú támadást, amelyek megpróbálják becsapni a Facebook-felhasználókat egy hamis e-mail melléklet megnyitásához, és azonnali üzenetben kattintson egy hivatkozásra.

Az e-mail figyelmezteti a felhasználókat, hogy a Facebook-fiókjukat spam küldésére használják, és jelszavukat megváltoztatták. Felkérik őket, hogy nyissák meg az üzenet mellékletét, amely tartalmaz egy Microsoft Word ikont, hogy megtalálják az új jelszót, majd bejelentkezzenek és módosítsák a jelszót. A melléklet megnyitja a Word-t, hogy a felhasználók úgy gondolják, hogy ez jogszerű, de a PandaLabs kutatói szerint is megnyitja a rendszer összes portját és csatlakozik a levélszolgáltatáshoz a spam küldésére irányuló kísérletben.

A hamis IM linkje letölti a férfit, aki átveszi a személy Facebook-fiókját, és bezárja őket, és üzenetet jelenít meg, amikor megpróbál bejelentkezni, amikor jelzi, hogy a fiókot felfüggesztették. A fiók újbóli aktiválásához az üzenet arra utasítja őket, hogy töltsenek ki egy kérdőívet, sőt díjakat ígérnek.

A kérdőív még azt is kéri, hogy a személy mobiltelefonszáma megkapja az "adat letöltési hiteleket" és egy új jelszót, amelyet a fiók újbóli aktiválására használnak. Ez megszünteti a biztonságos számítástechnikai szabályokat:

• Ne kattintson az e-mailek vagy az IM-ek linkjeire, még akkor sem, ha úgy gondolja, hogy megbízik a feladóban. Az adathalászok esetleg veszélyeztették a személy fiókját, hogy ne használhassák őket bánatos rendszereikben.

• Ne nyissa meg az e-mail mellékleteket, amelyeket nem vár, anélkül, hogy azokat a feladóval ellenőrizné.

• Ne nyújtson önkéntes adatokat olyan oldalakra, ahol nem bízik, és nem használ titkosítást. A böngészőtől függően keresse meg a "https:" címet az URL elején és a zár ikonját, a képernyő tetején lévő cím közelében, vagy a képernyő alján lévő állapotsorban.

Minden bizonnyal új, mesterséges próbálkozások lesznek arra, hogy a Facebook-felhasználókat a tolvajokhoz és a fiókokhoz való hozzáféréshez nyújtsák. Az ellenük való védelem minden Facebook-felhasználó felelőssége. Ez azzal kezdődik, hogy tudjuk, hogy a rosszfiúk ott várnak, hogy elvesszük az őrünket.

Népszerű Bejegyzések

A kavicsos tulajdonosok végül szöveges üzeneteket küldhetnek az órájukból

Az Outlook.com e-mail álnevek hozzáadása és használata

Most már regisztrálhat, hogy tesztelje a Microsoft Cortana alkalmazását az iOS-hoz

Hogyan állítsunk be többcsatornás lejátszást az összes Alexa eszközön

Hogyan lehet gyorsan létrehozni egy titkosított archívumot az OS X rendszerben

A Facebook végül lehetővé teszi, hogy az Android felhasználók nagy felbontású képeket töltsenek fel

 

Hagyjuk Meg Véleményét