讚、連結和經驗教訓 關於社群網路,中小企業應該知道的五件事

龐大到媒體帝國,平民至便利商店,每家公司都紛紛將自己推到網路上,用最快也最具成本效益的方式來接觸他們的客戶。這是社群網路所帶來的好處,也是企業們駐足的地方。但你知道社群網路對企業來說是有風險的嗎?不管它們的規模大小。

關於社群網路,中小企業應該知道的五件事
關於社群網路,中小企業應該知道的五件事

事實一

各種規模、類型的企業都正在採用社群媒體。

並不是只有大型企業才會使用社群媒體,小型企業也會。在美國,大多數(58%)中小企業主會在社群媒體管道上發展網路及進行互動。註1

Facebook上的公司網頁對中小企業來說是排名最高的社群媒體管道(29%),其次是在Facebook社團上互動或張貼消息(23%),然後是在產業相關社群上互動(19%)。這不難知道原因,因為這些基本上都是免費的行銷,只需要有電腦跟網路就可以了。

中小企業肯定能夠透過社群媒體來接觸到大量的消費者。跟據ComScore統計,全球的網路人口中有84%會使用社群網站。註2 大多數人會花費五分之一的網路時間在社群網站上。在美國,社群網路的使用量幾乎增加了一倍,而在中國也增加了一半(53%)。註3

事實二

越來越多人在工作時瀏覽社群網站。

Salary.com最近一項關於浪費工作時間的全球性調查中發現,幾乎有三分之二的人(64%)承認自己在工作時連上與工作無關的網站。在這些網站中,Facebook是最受歡迎的虛擬聚會場所(41%),其次是LinkedIn(37%)。註4

這消息其實並不令人驚訝。事實上,一項趨勢科技在美國針對709名受訪者所做的IT資安人員問卷調查中發現,有54%的員工在工作時因為個人因素而使用社群媒體。而中小型企業的員工中有超過五分之三這樣做。註5

圖一、使用者會否因為個人因素而在工作時使用社群媒體的比例
圖一、使用者會否因為個人因素而在工作時使用社群媒體的比例

46%的人:在工作時不會因為個人因素使用社群媒體

54%的人:在工作時會因為個人因素使用社群媒體

事實三

社群網路威脅即使對小型企業也是一視同仁。

中小企業應該要知道,不管是大是小,它們也不能倖免於社群媒體威脅。中小企業員工就跟其他多數使用者一樣,也會落入社群媒體上的惡意陷阱。

假WhatsApp Facebook網頁>詐騙訊息顯示其他應該是WhatsApp的使用者>網頁導向偽造的星巴克行銷網頁>假Facebook版WhatsApp網頁 繼續閱讀

【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

作者:趨勢科技雲端安全副總裁Dave Asprey

來自滲透測試軟體公司 – Rapid7所做的超棒資料圖表,證明了有些使用者是如何地忽略密碼安全。像我們這些內行的安全專家都了解強密碼的重要性,但你如果不做密碼強度檢查,你會發現使用者的行為其實很有趣。

而且有另外一個常見的問題是,現在足夠「安全」的密碼已經難記到需要寫下來,或是存在某處的檔案內。比較好的做法是用兩三個以上無關的單字加上間隔用的字母混合成一個長密碼。這也很難破解,而且比較容易記住,你就不用將它寫下來而造成另一個安全上的漏洞。

或者是用更好的方法,你可以用我們的密碼管理程式來徹底解決這問題!

六百四十六萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

LINKEDIN密碼解譯

發生什麼事了?

646萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

16.5萬筆密碼雜湊值(Hash)已經被破解

學到的教訓

糟糕的密碼

我們看到網友漸漸都在使用過度簡單的密碼。事實上是許多人都直接用單字當密碼,而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

前卅大被破解的密碼 

前卅大被破解的密碼

* 部分是經過修改的單字,不過你可以猜出原本的單字

設定密碼常見的問題

設定密碼常見的錯誤

髒話密碼

使用髒話當密碼有加倍的壞處,不僅因為這是種弱密碼,而且當密碼外流時也會讓使用者丟臉。你不會想用罵老闆的話當成密碼的,這種密碼可能會讓你需要用LinkedIn去找另一份工作!而且罵人的話也通常都在暴力破解字典的前端

繼續閱讀

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

在黑洞垃圾郵件(Black Hole Exploit Kit spam)肆虐下保護使用者

因為有一連串黑洞(Black Hole)垃圾郵件(SPAM)攻擊持續地在肆虐著,趨勢科技也一直在追蹤和調查這起利用黑洞漏洞攻擊(Black Hole Exploit)來攻擊使用者的威脅。這些攻擊通常一開始來自垃圾郵件(SPAM),裡面夾帶了指向淪陷網站的連結,接著將使用者重新導向到放有上述漏洞攻擊碼的惡意網站。結果是將ZeuS木馬變種安裝到使用者電腦上以竊取敏感資料。

 

趨勢科技針對黑洞垃圾郵件攻擊的解決方案

如果只針對黑洞漏洞攻擊包(Black Hole Exploit Kit spam)感染瞬間,當惡意軟體開始被下載的時候,那防護可能是不夠的。趨勢科技進而專注在攻擊的開始階段。因為電子郵件是威脅的起點,所以需要一開始就做出偵測,避免網路釣魚(Phishing)電子郵件送給使用者來誘騙他們點擊了會導致下載惡意軟體的網址。

趨勢科技建立了一套系統,會利用巨量資料分析加上趨勢科技主動式雲端截毒服務  Smart Protection Network ,在攻擊發生時找出獨特的資訊,所以可以快速地建立解決方案。一旦這些攻擊細節被關聯分析出來,就會將對應的解決方案透過主動式雲端截毒技術來保護客戶。

 

從攻擊起點來深入黑洞漏洞攻擊

解決這威脅的最初困難點來自被入侵淪陷的網站。這些淪陷網站的所有者需要不斷清理地這些淪陷網站。但是,這些淪陷網站依然還有漏洞存在,仍然可能被用在下一波的攻擊。

在過去幾個禮拜內,黑洞漏洞攻擊的相關活動利用社交工程陷阱( Social Engineering)來展開攻擊,利用知名公司像是LinkedIn美國航空Facebook美國運通PayPalCareerBuilder作為誘餌。我們看到幾個非常聰明的樣本,都是精心製造的網路釣魚(Phishing)以獲取使用者的信賴。這些郵件的格式和措辭都和這些公司的正式郵件一模一樣。這也是為什麼這些郵件很難用傳統方法加以偵測。

 

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

 

 

趨勢科技所調查的其中一次垃圾郵件攻擊利用了受歡迎的商業網站LinkedIn。在攻擊之初,我們確認了超過300個網址,分布在超過100個淪陷網站內。

 

 

 

根據調查,攻擊時的動態資料,像是垃圾郵件(SPAM)內的連結,都在不斷地變化,使得偵測並停掉這些連結變得相對困難。這種行為也讓垃圾郵件過濾技術更難去偵測相關連結。此外,駭客們也利用越來越多的小型殭屍網路/傀儡網路 Botnet以產生較少量的流量,以藉此來躲避偵測。

 

 

@原文出處:Protecting Customers From Black Hole Exploit Kit Spam Runs
作者:Sandra Cheng(產品經理)和Jon Oliver(資深技術總監)

 

@延伸閱讀

想免費下載“暗黑破壞神三(Diablo 3 free download)” ,請先分享至臉書?搜尋找麻煩,個資竟分享給駭客!

社群網站 交友確認信,帳號確認信,別急著按確定!

答應她的臉書Facebook 交友邀請,個資被看光

◎即刻加入趨勢科技社群網站,精彩不漏網