首页 | 新闻 | 新品 | 文库 | 方案 | 视频 | 下载 | 商城 | 开发板 | 数据中心 | 座谈新版 | 培训 | 工具 | 博客 | 论坛 | 百科 | GEC | 活动 | 主题月 | 电子展
返回列表 回复 发帖

社交网站垃圾邮件泛滥 Facebook加大打击力度

社交网站垃圾邮件泛滥 Facebook加大打击力度

Facebook和Twitter目前正在招兵买马,应对一个新敌人:“社交”垃圾邮件。Facebook工程师塔奥·斯坦恩(Tao Stein)便是对付这种新挑战的团队中的一员。去年五月某天凌晨四点,躺在床上的斯坦恩被手机铃声叫醒,他意识到自己的手机收到了垃圾邮件,上面写道“朋友,请点击这个链接,你便有机会获得免费的iPad”。
Facebook上面正到处充斥着这种消息,但事实上根本没有什么免费的iPad,这只是一种恶意软件,旨在引诱Facebook用户点击这个链接,无意中将这种信息转发给了好友。
斯坦恩打开咖啡壶的开关,然后登录自己的电脑,启动一个程序来过滤这种信息。他对过滤软件做了调整,因为垃圾邮件发送者会迅速修改其设置,避免遭到过滤软件的拦截。斯坦恩说:“我们只好不断重复,直至找到他们的‘阿喀琉斯之踵’。”最终,在斯坦恩的努力下,这个问题在一天后得到解决。
垃圾邮件是互联网上面最古老的“烦心事”之一,目前正积蓄力量以再次发动攻击。与经常发自陌生人的传统垃圾邮件不同,新型垃圾邮件(被称为“社交”垃圾邮件)往往来自于好友。黑客之所以突然对社交网站产生兴趣,是因为他们可以通过一系列值得用户信赖的来源散布垃圾邮件。
加大打击力度
这种垃圾邮件让社交网站的有用性处于危险之中。Facebook称,2010年,其网站上低于4%的共享内容属于垃圾邮件,这一比例在Twitter上面只有1.5%。但Facebook同时也指出,垃圾邮件数量的增长速度快于用户增长速度。在某一天,不到0.5%的Facebook用户(即大约400万人)会受到垃圾邮件的影响。
负责打击垃圾邮件的Facebook工程部门主管佩德拉姆·克雅尼(Pedram Keyani)说:“这是一场军备竞赛,我们的目标是领先对手一步。”2008年,Facebook仅有四名工程师负责网站安全工作,其中就包括斯坦恩。
今天,斯坦恩所在部门工程师超过了30人,此外Facebook还有一个由46人组成的独立安全团队,以及专注于用户问题的300名工程师。在Facebook总计3000名员工中,大约1000人参与了打击垃圾邮件的工作,虽然他们扮演的角色各有不同,这其中既有工程师、律师,也有用户运营总监和风险分析师。
与此同时,Twitter表示到2012年年底,该公司的“垃圾邮件科学”程序设计团队规模将从现在的二人增加至五人,并且将配备9名专家专门处理账户滥用行为。Twitter共有大约750名员工。社交垃圾邮件数量呈现增长之势,而通过传统电子邮件发起的黑客攻击次数看上去有所下降。
隐蔽性更强
据安全软件开发商赛门铁克的统计数据,2011年11月,垃圾邮件在各类邮件的比例占到70.5%,相比2010年8月时创下的92.2%最高点有所下降。由于过滤技术的提高和执法机关加强打击力度,黑客通过电子邮件实施攻击变得越来越困难。
美国安全公司Sophos Ltd分析师切斯特·威斯尼维斯基(Chester Wisniewski)说,黑客们迅速做出反应,开始转攻安全措施薄弱的社交网站:Facebook和Twitter。他们先是创建虚假Facebook账户,将不认识的用户加为好友,然后散布垃圾邮件。一旦这些用户点击恶意链接,垃圾邮件就会开始迅速传播。
黑客还可以通过第三方应用实施此类攻击。此外,当用户在Facebook和Twitter站外下载了恶意软件,黑客也可以控制他们的电脑。Facebook上最常见的一种社交垃圾邮件攻击形式被称为“赞劫持”(like-jacking):诱使用户点击一张图片,而这张图片给人感觉好像是好友已经点击了“赞”按键,并向用户推荐。
危害性更大的“诱饵”是那些似乎难以抗拒的网帖,如免费获赠iPad。一旦点击,用户的浏览器甚至整个电脑就会被恶意软件控制。有些社交恶意软件还会假冒Facebook用户,与好友发起一对一视频聊天。安全专家还警告称,越来越多的黑客利用从社交网站个人主页搜集的信息,诱使用户对针对性很强的恶意信息信以为真。
包含恶意链接
例如,旧金山居民克林特·威尔逊(Clint Wilson)的同事出于工作需要,将威尔逊加为好友,可一旦他们点击某餐厅提供的免费晚餐代金券的链接,威尔逊的Facebook账户便会向好友发送垃圾邮件。这些优惠信息其实都是虚假信息,里面包含安装了劫持网页的恶意软件链接。威尔逊是软件开发商Cazoomi Technology公司CEO。
在发现黑客的伎俩以后,威尔逊立刻在Facebook上面发了一个帖子,警告好友注意垃圾邮件。他说:“这比传统的垃圾邮件更可怕,因为你难以制止这种行为。”虽然威尔逊最终找到了从浏览器上卸载恶意软件的办法,但此事仍给他造成了大概500美元的经济损失。
由于黑客行动迅速,打击社交垃圾邮件需要投入很多人力。例如,Facebook的安全团队会没日没夜地监测用户报告是垃圾邮件的诱饵以及其他异常活动,如好友请求遭到拒绝。Facebook称,该网站每天会拦截2亿次恶意行为,如含有恶意软件链接的信息。
据员工透露,Facebook平均每个季度便会遭遇一次大规模黑客攻击,而在摧毁垃圾邮件以前,Facebook只能坐以待毙。斯坦恩说,每逢这个时候,感觉就像是“爆发了一场激烈的战斗”。斯坦恩团队的Facebook公告墙上有一张海报,上面是独角兽与代表垃圾邮件形象的恶魔打斗的画面。
孰胜孰负难料
黑客并非没有弱点,一旦遇到让其掏腰包的事情,他们就会开始犹豫,比如保存恶意软件的互联网地址,以及建立和管理账户所需要的人力。Facebook虽无法阻止垃圾邮件,但该公司目前正加强相关措施,令黑客创建和使用虚假个人主页的难度更大。
据悉,一旦Facebook对某个账户产生怀疑,便会要求该账户持有者证明其身份,即便他输入的密码正确。当然,关键是要确保真正的用户而非计算机,必须通过这道考验,进而增加制作和散布垃圾邮件的成本。
社交网站打击垃圾邮件的努力已经取得一定成效。Twitter称,2010年含有垃圾邮件的Twitter消息比例只有1.5%,远远低于2009年的11%。Twitter安全部门主管德尔·哈维(Del Harvey)说,受垃圾邮件影响的Twitter消息以及逃过安全检测的黑客账户数量“均未呈现上升趋势”。
Facebook工程部门主管克雅尼的话则饱含深意:“这是一场永远没有输赢的比赛。我们只是在奋力战斗。”
返回列表