社交媒体已经成为我们展示自己和企业的方式之一。由于所有社交媒体都发生在网上,网络安全至关重要。你在社交媒体上的表现为黑客创造了许多机会,通过社交媒体钓鱼攻击窃取你的宝贵数据。
为了安全起见,你必须采取预防措施。提高网络安全的一个方法是学习黑客用来窃取你的敏感信息的战术。
在这篇文章中,你将了解有关社交媒体钓鱼的所有知识,包括如何发现并避免成为它的受害者。
什么是社交媒体钓鱼(SMP)?
社交媒体钓鱼是一种网络犯罪,社交媒体用户被黑客欺骗,泄露自己的敏感信息。网络罪犯窃取个人信息,然后在暗网上出售,或者进入你的社交媒体账户。一些人利用这些信息进一步获取金融账户。
社交媒体上的网络钓鱼者之所以猖獗,仅仅是因为有许多潜在的受害者。创建社交媒体账户和创建网站一样简单(甚至比)。要创建一个网站,你只需要一个初学者的网站托管和一个新的域名。要创建一个社交媒体账户,你只需要一个用户名和密码,就可以了。
结果呢?嗯,看看这些数字。2022年,全球有超过45亿人使用社交媒体。社交媒体账户可能成为网络钓鱼攻击的目标的数量甚至更高,因为一个人通常不止拥有一个社交媒体账户。平均而言,我们在不同渠道有8.4个账户。
好消息是,你可以提高对社交媒体钓鱼的意识。例如,如果你是一家企业,可以使用登录页面构建器来创建执行网络钓鱼模拟的自定义登录页面。你将了解有多少社交媒体用户容易受到网络钓鱼攻击。然后,你可以与你的听众分享这些数字,并给出如何避免这些情况的建议。
你还可以确保自己不会成为社交媒体钓鱼的受害者。如果你知道攻击者使用的典型策略,就可以避免将自己置于可能危及安全的环境中。在零售、电子商务或SaaS营销计划的社交媒体钓鱼安全部分中包含这些内容。您还希望确保团队中的每个人都了解这些策略。这样,当他们在社交媒体平台上营销你的产品时,也可以采取必要的预防措施。
常见的社交媒体钓鱼诈骗
黑客可以利用许多社交媒体平台发起社交媒体钓鱼攻击。在本节中,我们将看看经常成为这些网络钓鱼骗局目标的四个社交媒体渠道。让我们来看看这些:
1. Facebook网络钓鱼
在社交媒体上创建一个虚假的个人资料需要几分钟。由此,骗子可以找到不同的方法来说服人们点击有害链接。
所以,冒充Facebook好友,骗子可以给你发信息,写上“看我找到了什么”或“是你吗?”,并附有链接。像这样:
一旦你点击链接,你会被带到一个假的Facebook登录页面,如下所示,在那里你被要求提交你的凭据:
注意,从URL来看,这个页面不是合法的Facebook页面。有些黑客甚至使用typosquatting方法,让URL看起来几乎和真实的URL一样,例如amazon.com或ettsy.com。因此,当你在这些页面上提交个人信息时,骗子会记录你的数据。
骗子也可以伪装成Facebook,给你发送电子邮件,说你的Facebook账户存在安全问题,比如违反其社区标准的活动或可疑的登录尝试:
请注意,从发件人的电子邮件地址来看,上面的电子邮件是伪造的。
然后在同一封邮件中,他们提示你点击嵌入式按钮来验证你的账户,还有些人威胁说,如果你不采取行动,你的页面将被删除。这个按钮指向同一个假的Facebook登录页面,该页面可以获取用户凭据。
2. Instagram钓鱼
Instagram等社交媒体平台提供了一种用户之间直接交换信息的方式。骗子模仿你的朋友或家人创建虚假的个人资料。任何人都可以在网上找到各种各样的信息,比如我们的工作,我们住在哪里或出生在哪里。使用近照使资料看起来非常真实。
从那里,小偷要钱来支付账单或小额贷款。
这是一个Instagram网络钓鱼的例子。你会从一个看起来像官方Instagram账号的地方收到一封电子邮件或一封邮件。该消息表明您的帐户可能有风险,您应该采取行动。它告诉你点击链接并输入登录详细信息。
乍一看,这封邮件似乎是合法的,但检查一下它的邮箱地址,你就会发现它不是Instagram的官方邮件。点击链接可能会使您的帐户面临风险。
这是另一个例子。一个诱人的提议和赢得最新iPhone的机会可能会变成Instagram的网络钓鱼攻击,如下图所示:
点击链接并填写你的敏感信息可能会导致骗子控制你的账户并利用你的信息获取经济利益。
3. LinkedIn钓鱼
LinkedIn是一个受求职者和雇主欢迎的渠道。但这是一个专业人士经常使用的社交平台,并不意味着它是100%安全的。
骗子可以制作虚假的招聘广告,并在虚假的公司页面上发布。该工作申请将要求敏感数据,骗子将使用在利润驱动的活动。
此外,避免在要求提供个人信息以获得报酬或奖品的帖子上发表评论。下面是一个诈骗帖子的例子:
身份窃贼通过发送精心设计的电子邮件来窃取LinkedIn用户的登录凭据。点击链接可能意味着下载恶意软件到我们的设备上。
有潜在危险的电子邮件可能是这样的:
用户在假电子邮件中点击链接后,会被发送到一个假的LinkedIn登录页面,并被要求输入用户名和密码。一旦有人交出了他们的LinkedIn登录详细信息,他们可能会危及使用相同身份验证的许多其他服务的访问权限。
注意LinkedIn上的假招聘人员。可疑特工可能会给你发文件下载。下载受感染的文件到你的电脑上可能会导致通过宏释放恶意软件,未经训练的用户甚至无法看到这些宏。
为了保护你自己,在申请工作之前一定要向任何雇主表示问候。
4. Twitter网络钓鱼
一个常见的Twitter钓鱼诈骗正在传播一个惊人的投资机会。这是网络罪犯发布的一条推特,他们黑了包括埃隆·马斯克在内的多位知名人士的账户。它表示,粉丝可以通过向指定的加密货币账户发送比特币支付,将他们的钱增加一倍。
亚马逊这样的企业通过Twitter等社交媒体渠道提供客户支持。虽然这对用户来说非常方便,但它为网络罪犯创造了新的机会。这里有一个看起来很狡猾的DM,要求Twitter用户提供他们的敏感信息,包括他们的名字和信用卡号码。
一个骗子使用一些品牌的标识元素创建一个假账户,并将帖子和DMs传播给Twitter用户。误入歧途的客户可能会通过这种网络钓鱼的尝试泄露他们的密码信息和其他细节。
如何保护自己免受社交网络钓鱼
为了保护您的私人和商业社交媒体账户免受社交媒体钓鱼攻击,请注意您如何分享敏感信息。
坚持以下几点:
- 不要分享您的登录凭证或任何用于金融账户的信息。
- 永远不要点击链接来更新你的个人信息。
- 直接转到平台,检查是否需要任何更新。
- 避免在不同的社交媒体账户上使用相同的用户名和密码。
- 使用强密码。
- 定期更新软件、操作系统和SSL证书。许多成功的攻击利用了未修补的漏洞。
如果你使用的是WordPress web hosting,请务必在新版本发布后立即更新它。此外,更新到最新版本的PHP,并安装至少一个著名的安全插件。
请注意,骗子使用的句子结构和表达很少与他们试图模仿的真实的人匹配。如果他们要钱,绝对不会是通过银行转账。罪犯会希望你使用其他货币服务,如西联汇款或类似的服务,以保持不可追踪。
总结
只要人们还在使用社交媒体与他人交流,网络罪犯就会一直试图诱骗他们窃取他们的账户。学习社交媒体钓鱼攻击的基础知识是保持安全的关键。
失去对组织社交账户的控制可能会导致严重的后果:公司声誉受损,收入损失,等等。
从本指南中,你了解了骗子常用的四种社交渠道:Facebook、Instagram、LinkedIn和Twitter。现在,你可以提醒你的客户、员工、朋友和家人在社交媒体钓鱼攻击中需要注意的迹象。
注:这篇博客文章是由一名客座撰稿人撰写的,目的是为我们的读者提供更广泛的内容。在这篇客座作者文章中所表达的观点仅代表作者本人的观点,并不一定代表GlobalSign的观点。
