社交網(wǎng)絡(luò)用戶面臨的各類威脅

(天津師范大學(xué)管理學(xué)院 天津 300387)

越來越多的人在社交網(wǎng)絡(luò)上發(fā)布自己各方面的信息，熱衷于在社交網(wǎng)站上展示和分享自己的生活，用戶安全與隱私保護(hù)的問題也日漸突出。

許多社交網(wǎng)絡(luò)用戶通過發(fā)布照片或直接提供家庭住址和電話號(hào)碼等信息，公開了自己和親朋好友的個(gè)人隱私。此外，用戶表明愿意接受陌生人的好友請(qǐng)求，通過接受這些陌生人的好友請(qǐng)求，用戶會(huì)在不知不覺中向陌生的人透露他們的個(gè)人隱私。

本文針對(duì)目前社交網(wǎng)絡(luò)用戶隱私泄露，本研究旨在回答社交網(wǎng)絡(luò)用戶隱私泄露的帶來的威脅有哪些。

一、社交網(wǎng)絡(luò)用戶泄露隱私面臨的威脅

隨著越加頻繁的使用社交網(wǎng)絡(luò)，許多用戶無意識(shí)的暴露在隱私安全的威脅下。威脅可以劃分為三大類，第一類是傳統(tǒng)威脅，不僅危及社交網(wǎng)絡(luò)用戶，而且還威脅到不使用社交網(wǎng)絡(luò)的互聯(lián)網(wǎng)用戶。第二個(gè)類是現(xiàn)代威脅，是對(duì)社交網(wǎng)絡(luò)環(huán)境所特有的威脅，使用社交網(wǎng)絡(luò)基礎(chǔ)設(shè)施危及用戶隱私和安全，第三類是組合威脅，將各種類型的攻擊組合起來，以創(chuàng)建更加復(fù)雜和致命的攻擊。

(一)傳統(tǒng)威脅

惡意軟件：網(wǎng)絡(luò)用戶在瀏覽一些惡意網(wǎng)站時(shí)，可能會(huì)連同惡意程序一并帶入自己的電腦，而用戶本人對(duì)此絲毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動(dòng)出現(xiàn)時(shí)，用戶才有可能發(fā)覺電腦已“中毒”。在惡意軟件未被發(fā)現(xiàn)的這段時(shí)間，用戶網(wǎng)上的所有敏感資料都有可能被盜走，比如銀行帳戶信息，信用卡密碼等。

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚攻擊者利用具有欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。

網(wǎng)絡(luò)欺詐：利用互聯(lián)網(wǎng)采用虛構(gòu)事實(shí)或者隱瞞真相的方法，騙取網(wǎng)絡(luò)用戶的錢財(cái)。通過網(wǎng)上交友方式，從真人或網(wǎng)絡(luò)結(jié)識(shí)，待被盜者信任后再獲取財(cái)物資料的方式。建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶賬號(hào)密碼實(shí)施盜竊。

跨站腳本攻擊：利用網(wǎng)站漏洞從用戶那里惡意盜取信息。為了搜集用戶信息，攻擊者通常會(huì)在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺騙用戶。一旦得手，他們可以盜取用戶帳戶，修改用戶設(shè)置，盜取污染cookie，做虛假?gòu)V告等。

(二)現(xiàn)代威脅

點(diǎn)擊劫持：通過覆蓋不可見的框架誤導(dǎo)受害者點(diǎn)擊。雖然受害者點(diǎn)擊的是他所看到的網(wǎng)頁(yè)，但其實(shí)他所點(diǎn)擊的是被黑客精心構(gòu)建的另一個(gè)置于原網(wǎng)頁(yè)上面的透明頁(yè)面。

僵尸粉：僵尸粉一般是指微博或百度貼吧上的虛假粉絲，花錢來買到“關(guān)注”，它們通常是由系統(tǒng)自動(dòng)產(chǎn)生的惡意注冊(cè)的用戶。而隨著微信用戶基數(shù)的擴(kuò)大，微信僵尸粉也大量出現(xiàn)。僵尸粉可以用來從社交網(wǎng)絡(luò)獲取用戶的個(gè)人數(shù)據(jù)。此外，可以使用虛假的配置文件來發(fā)布垃圾消息，甚至操縱OSN統(tǒng)計(jì)數(shù)據(jù)。

推理攻擊：攻擊者可能通過對(duì)用戶位置數(shù)據(jù)進(jìn)行與時(shí)間或空間相關(guān)的推理攻擊，這會(huì)造成用戶敏感數(shù)據(jù)的泄露，甚至威脅到人生的安全。

信息泄露:互聯(lián)網(wǎng)的安全問題日益凸顯,信息被泄露。包括基本信息、設(shè)備信息、賬戶信息、隱私信息、社會(huì)關(guān)系信息和網(wǎng)絡(luò)行為信息等，人為倒賣信息、PC電腦感染、網(wǎng)站漏洞、手機(jī)漏洞是目前個(gè)人信息泄露的四大途徑。

位置泄露：隨著越來越多的智能移動(dòng)設(shè)備的使用，鼓勵(lì)共享位置信息，許多人使用社交網(wǎng)絡(luò)自愿分享他們(或他們的朋友)當(dāng)前或未來的地理位置信息。這類信息可以被犯罪分子和跟蹤者使用。

面部識(shí)別：許多人使用社交網(wǎng)絡(luò)來上傳自己和朋友的照片。每天都有成千上萬(wàn)的照片被上傳到微博、微信上。此外，用戶頭像照片都可以公開查看和下載。這些照片可以用來創(chuàng)建一個(gè)生物特征數(shù)據(jù)庫(kù)，然后可以用來在未經(jīng)他們同意的情況下識(shí)別社交網(wǎng)絡(luò)用戶。

應(yīng)用克隆：該攻擊模型是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的，所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。在應(yīng)用克隆攻擊模型的視角下，很多以前認(rèn)為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號(hào)及資金等。

(三)組合威脅

攻擊者還可以將經(jīng)典和現(xiàn)代的威脅結(jié)合起來，以制造更復(fù)雜的攻擊。

二、結(jié)論與展望

本文討論了在移動(dòng)互聯(lián)網(wǎng)背景下，社交網(wǎng)絡(luò)用戶的隱私泄露問題，傳統(tǒng)的網(wǎng)絡(luò)隱私保護(hù)趨向于阻止用戶發(fā)布信息，而這種方式在移動(dòng)社交網(wǎng)絡(luò)中并不可取，因?yàn)橛脩艏尤肷缃痪W(wǎng)絡(luò)的目的就在于參加社交活動(dòng)。我們建議在這些平臺(tái)上更好地保護(hù)自己的社交網(wǎng)絡(luò)用戶實(shí)現(xiàn)以下4項(xiàng)建議:1.刪除不必要的個(gè)人信息；2.調(diào)整隱私和安全設(shè)置；3.不要接受陌生人的好友請(qǐng)求。4.安裝網(wǎng)絡(luò)安全軟件；5.不要發(fā)布你的位置；6.不要相信你的OSN朋友。

移動(dòng)互聯(lián)社交應(yīng)用是未來社交的發(fā)展趨勢(shì)，開發(fā)用戶友好型的社交網(wǎng)絡(luò)應(yīng)用并提供功能合理的隱私設(shè)置是移動(dòng)社交網(wǎng)絡(luò)用戶隱私保護(hù)的關(guān)鍵內(nèi)容，因而值得進(jìn)一步深入研究。

【參考文獻(xiàn)】

[1]Facebook,accessed Jan.14,2014.[Online].Available:http://www.facebook.com/

[2]仝磊.由 CSDN 信息泄露事件引發(fā)的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012(2):7.

[3]魏來，鄭躍.隱私2.0:Web2.0時(shí)代的用戶隱私保護(hù)研究[J].圖書與情報(bào)，2010(5):60-64.

[4]王永剛，蔡飛志，Eng K eong Lua，等.一種社交網(wǎng)絡(luò)虛假信息傳播控制方法[J].計(jì)算機(jī)研究與發(fā)展，2012，(s2)：131-137.

[5]袁茵.3Q大戰(zhàn)未了局[J].中國(guó)企業(yè)家，2012(9):77-79.

[6]J.Baltazar,J.Costoya,and R.Flores,“The real face of koobface:The largest web 2.0 botnet explained,”Trend Micro Res.vol.5,no.9,p.10,2009.

[7]許曉東，肖銀濤，朱士瑞.微博社區(qū)的謠言傳播仿真研究[J].計(jì)算機(jī)工程.2011，37(10)：272—274.

[8]岳逍遠(yuǎn).“CSDN泄密門”事件兩名涉案黑客已落網(wǎng)[J].信息網(wǎng)絡(luò)安全，2012(2):94