SocialToo 给社交网络用户一种错误的安全感
上周社交网络“伴侣”Social Too 宣布为 Twitter 创建了“自动防病毒解决方案”。我看到它被转发了多次,用户显然很兴奋。我吓坏了。为什么?其一,它不是防病毒解决方案。 SocialToo“防病毒解决方案”承诺充当 Twitter 和您的收件箱之间的直接消息 (DM) 传递的中间人。用户登录 SocialToo 并选择“发送 SocialToo DM 电子邮件”,然后用户的 DM 会重新路由到 SocialToo,而不是直接将电子邮件发送给用户。然后,SocialToo 服务承诺仅将可能安全的警报传递到您的收件箱。 我和我的朋友Tom Eston (来自SocialMediaSecurity.com的安全研究员)讨论了这项服务,我们就这项服务的一些令人担忧的事情达成了一致: 1. 再次强调,这绝对不是一款防病毒产品。它不会像传统的防病毒(基于签名)解决方案那样阻止恶意软件(恶意文件)安装在您的计算机上。它仅适用于 DM。 2. 将其称为“防病毒”产品会给一般社交网络用户带来错误的安全感。这些不是通过 DM 发送的“病毒”...它们是网络钓鱼链接(或者 B2B电子邮件清单 在热门主题垃圾邮件的情况下,是指向恶意软件的链接)。这可能会导致用户认为这将保护他们免受 Twitter 上的所有威胁,因为它被标记为“防病毒产品”。 3. 即使称其为反网络钓鱼解决方案也有些言过其实。在您的朋友的帐户被盗后,有可能通过转发垃圾邮件或朋友在其提要上的链接而遭受网络钓鱼。 SocialToo 的服务不会采取任何措施来防范这些威胁。 继续--> 4.隐私问题!通过向 SocialToo 授予此权限,您将授予该服务访问您所有 DM 的权限。诚然,敏感信息无论如何都不应该通过 Twitter 发送,但许多用户无论如何都会这样做(正如 Tom 指出的,许多 #dmfails 见证的证据)。我们信任第三方(例如 TweetDeck 和其他客户)来查看我们的 DM,这已经够糟糕的了,但将其交给包含电子邮件在内的服务只会使风险加倍。 5.社交媒体最大的安全风险是用户本身。
https://manchestermassage.net/wp-content/uploads/2024/01/B2B电子邮件清单-1.png
SocialToo 解决方案可能会降低用户的敏感度,从而使网络钓鱼问题变得更加严重。特别是因为人们遇到的这些问题远远超出了 Twitter 的范围(记住 Koobface 起源于 Facebook)。Errata Security的TwiGUARD等服务在提高人们对当前威胁级别的认识方面做得很好,但 SocialToo 几乎让用户瘫痪。 “我们是否已经到了必须让像 SocialToo 这样的服务来为我们做繁琐的思考工作的地步了?”汤姆问道。 “俗话说……‘人类的愚蠢无可弥补。’” 6. 对用户的最大威胁是网络钓鱼威胁首次出现并且最猖獗时,在这些攻击造成危险的消息传开之前。 SocialToo 不是一家拥有大量监控日志的安全研究人员的公司,一旦威胁广泛传播,SocialToo 很可能会获取信息,只有在第一批受害者已经成为嫌疑人后才可能帮助用户。存在这些 DM 最初通过其过滤器的风险,特别是因为某些威胁一开始似乎是无害的。 最重要的是,该服务在部分时间可以很好地发挥作用。论
頁:
[1]