社群媒體是一把雙面刃,享受分享樂趣的同時,也要記得保護自己,避免遭受惡意濫用社群平台的影響。如果你是企業員工,分享前更需三思,因為任何一名員工都可能成為企業級攻擊的切入點。
社群媒體已經是人們生活中不可或缺的一部分,成為我們取得資訊或與人互動的主要管道。疫情爆發更是加深了此一狀況,檢疫隔離、在家工作(Work-From-Home,WFH) 讓人們更加依賴社群平台作為與世界其他人主要聯繫的方式。這也導致了人們分享的資訊量暴增。
感謝這些社群平台帶給我們的好處,也該提醒大家如何安全地使用社群平台的建議。
分享前先三思,任何一名員工都可能成為企業級攻擊的切入點
在社群媒體上的發文不一定只有你的聯絡人可以看到。根據你的帳號設定,這些內容也可能被其他人,甚至所有人看到。而且不只是你自己的發文,還包括你被標記在內的留言或照片、你參加的群組或關注的興趣。
網路犯罪分子經常會用可公開取得的社群資訊來客製化攻擊。也就是利用公開來源情報(OSINT),讓他們能夠針對特定個人或特定族群來進行攻擊。
你可能會想:「我又不是什麼重要人物,所以這不會發生在我身上。」但這並非思考社群安全時該有的想法。
任何一名員工都可能成為企業級攻擊的切入點。你的個人資料會提供許多關於你的資訊,能夠被用來設計針對性網路釣魚(Phishing)郵件、電話或簡訊,進而導致企業網路被入侵。
駭客如何利用員工的社群網站入侵公司?
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」?駭客眼中夢寐以求的攻擊跳板有哪些特質? 為何員工在社群網站發言,會影響企業安全? 駭客如何利用假身分掩護,加入某公司員工的社群帳號,進而引發一場資料外洩事件?
請看以下影片: 這位仁兄幾乎接受所有的交友邀請,他很自豪的認為高人氣的社群人脈,可以讓他迅速飛黃騰達,他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位社群網站”好友”,實際上多數為陌生人,知道他的作息與工作點滴,你身邊也有這類型的同事嗎?為何這種人會成為攻擊者夢想中的目標?他和所屬的公司,最終付出什麼代價?只顯示部分資訊
完整文章:駭客如何利用員工的社群網站 、電子郵件入侵公司?-維護職場網路安全四要點
常見的四個社群分享盲點,你中幾個?
1.上傳辦公室照片時,背景有不該入鏡的祕密嗎?
–分享新工作,入鏡的識別證、螢幕、便條紙內容一起入鏡?
拍攝自己識別證的入職紀念照可以讓惡意駭客用來偽造識別證,大搖大擺地進入你的工作地點。照片裡拍到的螢幕或便條貼內容可能會出現密碼或帳號資訊。甚至是你在用的筆記型電腦、郵件軟體、瀏覽器或電話系統類型都可能讓駭客用來客製化有說服力的網路釣魚攻擊。
2.你的貼文找得到駕照、護照….等個資?
–上傳停在家門口的新車,連住家門牌一起曝光?
拍攝停在你家門口的新車照可能會洩露出你家地址等資訊。社群媒體影像或背景裡還可以找到信用卡、駕照、護照和其他個人識別資訊。這些個人身份資訊(PII)可能會讓你的身份陷入危險,而且可以用來冒充你來對公司進行攻擊。
延伸閱讀:
「媽呀,上傳了什麼照片這麼糗 !」三大自拍風險 你犯了幾項?你犯了幾項?專家教你四大避險撇步
檢查照片後再上傳( 別犯了跟英國威廉王子同樣的錯誤)
出國時 PO 登機證打卡文 個資全都露
分享照片可能洩漏居家位置嗎?
小心你的手機自拍照 流入地下市場
一旦分享照片,拍照位置和手機型號也可能跟著分享出去
3.外出一定打卡?
-總是曝光定位資訊,讓宵小知道闖空門時機?
帶有定位資訊的照片可以讓犯罪分子知道你出遠門,家裡沒人。並且照片也很容易被深入搜索找出其他資訊。
延伸閱讀:
出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?
愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置
4.社群媒體帳號綁定電話號碼和電子郵件,但沒有作進一步的安全檢查或設定?
-你的貼文找得到密碼提示問題的答案嗎?
社群媒體可能會需要或出於安全目的而要求將帳號綁定電話號碼和電子郵件地址,但請檢查設定以確保不會讓你或帳號更容易被攻擊。
「大部分民眾依據手邊的資訊選擇密碼」研究結果凸顯了這項令人憂心的事實,駭客只要動動手指頭,使用搜尋引擎,查一下 facebook 個人資料,就能輕易找到寵物名字,紀念日,就讀學校等資料,進而能入侵多數帳號。
根據「時代雜誌」(Time)網站報導,Google 訪問2000名民眾選擇帳號密碼的方式。發現”寵物名字”是最爛的密碼。
根據 Google 分析,用戶最常使用的密碼如下:
1、寵物名字
2、大日子,如結婚紀念日
3、家人生日
4、孩子的名字
5、家庭成員名字
6、出生地
7、最愛的節日
8、最愛的運動團隊
9、重要人士的名字
10直接用「password」當密碼
注意到了嗎?上述許多密碼線索在很多人的臉書或 IG 貼文都找得到!
延伸閱讀:
《資安漫畫》不要再用生日當密碼了
雙重驗證/兩步驟驗證是什麼?對於網路安全的重要性為何?
五種被駭人,常見的社群網站使用行為
保持良好的帳號使用習慣
作為資安專家,我們知道要確保帳號安全始於擁有強大的密碼。然而隨著密碼破解軟體的不斷發展,之前認為的強密碼可能不再足以保證我們的安全。
越長越複雜的密碼就越強越難破解。像是包含字母、數字和特殊字元的混合長句。如果你擔心無法記住各個不同的密碼,可以考慮使用一個安全的密碼管理器。如趨勢科技密碼管理通 》立即免費下載試用
社群帳號不使用公司郵件
小心連結到社群媒體的電子郵件也相當重要。企業應該制定政策來禁止在社群帳號裡使用公司郵件。這將有助於降低駭客利用外洩社群帳號密碼來侵入企業網路的機會。最好使用只用於社群媒體的電子郵件,這可以限制駭客在你的帳號被入侵時可取得的有用資訊。
其他該遵循的四個最佳實作包括:
- 每個帳號都要使用不同的密碼。這樣當一個帳號被入侵,可以降低其他帳號遭受同樣命運的機會。
- 啟用多因子認證(Multi-factor authentication,縮寫為 又譯多重要素驗證),來獲得多一層的安全保護。
- 保持應用程式更新。就像任何軟體一樣,重要的是保持在最新狀態,確保不會受到任何新發現的威脅或漏洞侵害。
- 刪除任何不常使用的帳號。這可確保它們不會被入侵和用來存取其他連結帳號,如你的電子郵件。
延伸閱讀:別再囤積過多帳號和APP了!
小心駭客以社群操控輿論走向,進行網路宣傳(Cyberpropaganda)
社群媒體上充斥著大量假新聞和錯誤資訊。駭客以社群操控輿論走向,進行網路宣傳(Cyberpropaganda)已經存在很長時間了,社群平台是這類惡意活動的完美選擇。在社群管道上分享錯誤資訊甚至已經成為地下或灰色市場所提供的服務之一。必須在瀏覽社群平台時緊記這一點,並且在點閱或分享前先仔細檢查連結來源。
驗證發文真實性的四個方法
為了確保自己不要成為受害者或分享假新聞的幫兇,你應該對點閱和分享內容保持警覺。這裡有一些驗證發文真實性的方法:
- 檢查這起新聞故事是否有信譽良好的網站直接報導過:如果是真實新聞,肯定不止一家媒體在報導。
檢查連結:你可以運用類似對抗網路釣魚(Phishing)的做法來保護自己。網址內的字母是否被替換成相似的字元?
延伸閱讀:【簡訊詐騙警訊】詐騙集團假冒中國信託/國泰世華/台新銀行通知「您網銀帳戶異常,即將凍結」當心存款人間蒸發!
國泰世華正版與山寨網址關鍵字比一比:
正版: cathaybk 盜版:cathay-bk
台新銀行正版與山寨網址關鍵字比一比:
正版: taishinbank 盜版:taishinz
- 檢查內容品質:
是否有真實的留言評論?是否出現拼寫或文法錯誤?這看起來是個專業網站嗎? - 當心使用誇張術語的騙點閱標題。
在瀏覽社群媒體新聞時,你可以用類似零信任概念的心態。意思是你基本上不信任任何東西,即便是由可信賴的人所貼出。從零信任開始,先進行驗證來決定是否信任發文。你永遠不知道你的朋友或其他組織是否被欺騙並分享了假新聞,或是他們的帳號是否被盜用。 - 使用語音社群時保持安全
最近的趨勢是語音社群,如ClubHouse或最近Spotify推出的 Greenroom。跟其他社群平台一樣,它也容易遭受惡意活動影響。以下是一些可運用在這些平台的安全最佳實作:
- 你永遠不知道誰可能錄音,所以只說你想公開分享的東西。
- 當某人的自介說自己是誰並不代表他就是。不要只憑自介就相信這個人。
- 只授予必須的權限並積極管理帳號設定,盡量減少你所分享的資料量。
延伸閱讀:你跟著一窩蜂「開房間」了嗎?聊聊Clubhouse等線上語音聊天社群APP的六個資安風險
社群媒體是一把雙面刃。在這艱難的時候,當傳統面對面交流方式不安全時,它提供了我們另一種交流方式。它讓我們可以在這非常時期與親友保持,傳遞關鍵資訊。不過,網路犯罪分子也會濫用它,而且會繼續這麼做,因為上面充滿了他們想要的珍貴資料,而且也是他們容易進行惡意計畫的平台。透過以上的最佳實作,我們可以保持安全並獲得社群媒體所帶來的好處。
◎原文出處:Best Practices for Social Media Security
