Portale społecznościowe a bezpieczeństwo danych

Większość osób korzystających z sieci jest zbyt ufna w stosunku do innych ludzi, a także zbyt łatwo dzieli się swoimi prywatnymi danymi.

Portale społecznościowe w szybkim tempie zyskały bardzo dużą popularność – z serwisu Facebook korzysta już niemalże 200 milionów użytkowników; MySpace nie publikuje takich statystyk, ale ewidentnie jest najgroźniejszym konkurentem Facebook na tym polu. W portalu Bebo swoje konta ma zaś ponad 40 milionów osób.

Użytkownicy wspomnianych serwisów niekoniecznie muszą być w wieku szkolnym bądź uniwersyteckim. Często jest wręcz przeciwnie – według raportu firmy Nielsen z marca 2009 roku – portale społecznościowe lub serwisy blogerskie odwiedza dwie trzecie wszystkich osób korzystających z Internetu na świecie i spędza w nich prawie 10% całkowitego czasu korzystania z Sieci.

Zjawisko to nie ogranicza się jedynie do serwisów społecznościowych. Portal LinkedIn, który oferuje możliwości nawiązywania kontaktów biznesowych i poszukiwania pracy, mniej więcej z każdą sekundą powiększa się o nowego użytkownika, a wkrótce będzie mógł się szczycić 40 milionami zarejestrowanych w nim osób. Z kolei liczba użytkowników serwisu mikroblogerskiego Twitter wzrosła w ciągu roku o 1382% (według danych z lutego 2009 roku).

W sytuacji, gdy tego rodzaju strony cieszą się ogromnym zainteresowaniem internautów, nie ma się co dziwić, że stają się one również celem wzmożonych ataków przestępców internetowych. Technologia Web 2.0, dzięki bogatej, interaktywnej treści tworzonej przez samych użytkowników oraz serwisom społecznościowym – na które składają się wzajemnie połączone, oparte na zaufaniu grupy i sieci użytkowników – daje przestępcom internetowym duże pole do manewru. Mogą oni zarówno rozpowszechniać tradycyjne rodzaje szkodliwego oprogramowania nowymi kanałami, jak i stosować metody socjotechniczne, aby tworzyć profile potencjalnych celów oraz gromadzić dotyczące ich informacje.

Wśród tradycyjnych ataków prowadzonych za pośrednictwem portali społecznościowych, które zostały zaobserwowane na przestrzeni ostatnich kilku miesięcy, można wyróżnić następujące:

• kilka epidemii (jak do tej pory) niezłośliwych robaków w serwisie Twitter, które przeprowadzają ataki typu cross-site scripting (osadzanie złośliwego kodu w treści strony) z wykorzystaniem luk w zabezpieczeniach oraz clickjacking (przechwytywanie kliknięć);
• fałszywe profile na portalach Bebo oraz LinkedIn zawierające łącza do pobierania szkodliwego oprogramowania;
• fałszywe aplikacje stworzone w celu gromadzenia informacji oraz słynny robak Koobface w serwisie Facebook;
• wykorzystanie przejętych profili do przeprowadzenia ataku typu 419 scam wśród zaprzyjaźnionych użytkowników;
• fałszywe ogłoszenia prowadzące do fikcyjnych, wielopoziomowych schematów marketingowych bądź o wiele bardziej niebezpiecznych stron.

Wiadomo też, że publicznie dostępne informacje były wykorzystywane do przeprowadzania ataków typu whaling (wyłudzania danych osobowych od osób na wysokich stanowiskach) oraz do oszustw związanych z kartami kredytowymi.

Większość osób korzystających z sieci jest zbyt ufna w stosunku do innych ludzi, a także zbyt łatwo dzieli się swoimi prywatnymi danymi na forum publicznym.

Musimy zdawać sobie sprawę nie tylko z tego, jak dużą wartość mają nasze prywatne dane, lecz także, jak istotne są dane dotyczące naszych znajomych. Musimy nauczyć się korzystać z zabezpieczeń dostępnych na serwisach społecznościowych oraz platformach zrzeszających osoby poszukujące nowych kontaktów biznesowych i faktycznie ich używać. Nie ma potrzeby publikowania na profilu najważniejszych informacji dotyczących naszej osoby oraz ujawniania całej historii zatrudnienia, edukacji i miejsc zamieszkania.

Uważajmy, w jakiej formie podajemy nasze internetowe przezwisko lub wymyślone imię i unikajmy uwzględniania w nich danych, które mogą zostać wykorzystane do zmiany hasła naszej poczty elektronicznej lub uzyskania dostępu do danych finansowych – przykładowo imienia psa bądź panieńskiego nazwiska matki. Nie musimy także podawać adresów e-mail przyjaciół lub członków rodziny, gdy zostaniemy poproszeni o polecenie dziesięciu znajomym zabawnej strony internetowej bądź pewnego oprogramowania.

Źródło: Trend Micro