Facebook HTTPS: Cảm giác sai về bảo mật?

Việc triển khai Giao thức truyền siêu văn bản mới của Facebook Mã hóa bảo mật đã hoàn tất. (Elinor Mills đã mô tả tính năng này trong một bài đăng trên blog InSecurity Complex của cô ấy vào tuần trước.) Mặc dù mã hóa là một bổ sung đáng hoan nghênh cho mạng xã hội, nó khác xa với thuốc chữa bách bệnh bảo mật Facebook.

Để bật mã hóa trong Facebook, nhấp vào Tài khoản ở góc trên bên phải và chọn Cài đặt tài khoản. Chọn Thay đổi bên cạnh Bảo mật tài khoản để xem các cài đặt hiện tại của bạn. Kiểm tra tùy chọn trong Duyệt web bảo mật (https). Bạn cũng có thể muốn kiểm tra "Gửi email cho tôi" trong phần "Khi một máy tính hoặc thiết bị di động mới đăng nhập vào tài khoản này" để được cảnh báo về khả năng truy cập trái phép vào tài khoản của bạn.

Thật tuyệt khi Facebook đang thực hiện các bước để bảo vệ khách hàng của mình khỏi những kẻ lừa đảo và kẻ trộm ID, nhưng chỉ có rất nhiều công ty hoặc bất kỳ dịch vụ Web nào có thể làm để ngăn chặn những kẻ rình mò và truyền tải phần mềm độc hại. Trong trường hợp của Facebook, liên kết yếu có thể là trò chơi và các ứng dụng khác không được mã hóa.

Đầu tuần này, nhà nghiên cứu bảo mật Sophos Graham Cluley đã viết trên blog của ông về Bảo mật trần trụi về một lỗ hổng trên Facebook được phát hiện bởi hai sinh viên. Theo Cluley, phần mềm độc hại có thể bắt chước một ứng dụng đã được cấp quyền truy cập dữ liệu của bạn và xuất bản lên tường của bạn để khởi chạy các cuộc tấn công lừa đảo và truyền bá virus và Trojan.

Nhà nghiên cứu ban đầu không thể sao chép phương thức tấn công vì cài đặt bảo mật Facebook của anh ta "khá cứng nhắc", nhưng việc hạ thấp cài đặt cho phép anh ta truy cập vào tài khoản của mình thông qua ứng dụng lừa đảo.

Vào tháng 8 năm 2009, tôi đã mô tả cách thay đổi cài đặt bảo mật mặc định của Facebook để làm cho dịch vụ an toàn hơn. Các tùy chọn quyền riêng tư đã thay đổi phần nào kể từ thời điểm đó, nhưng các bước để tăng cường bảo mật Facebook của bạn là như nhau. Trang Kiểm soát cách bạn chia sẻ của Facebook đi sâu vào chi tiết hơn về các tùy chọn bảo mật của dịch vụ.

Cluley báo cáo rằng các sinh viên đã thông báo cho các quan chức an ninh của Facebook về lỗ hổng và nó đã được vá. Nhưng như nhà nghiên cứu Sophos chỉ ra, một hệ thống phức tạp như Facebook chắc chắn sẽ chứa những sai sót khác, một số trong đó có thể bị kẻ xấu lợi dụng.

Người dùng Facebook nhắm mục tiêu bởi những kẻ lừa đảo

Như bạn có thể mong đợi, thành công của Facebook đã khiến nó trở thành mục tiêu ưa thích của những kẻ lừa đảo Internet. Nhà cung cấp bảo mật Panda Security gần đây đã báo cáo về hai cuộc tấn công phần mềm độc hại mới nhằm lừa người dùng Facebook mở tệp đính kèm e-mail không có thật và nhấp vào một liên kết trong một tin nhắn tức thời.

Email cảnh báo người dùng rằng tài khoản Facebook của họ đang được sử dụng để gửi thư rác và mật khẩu của họ đã bị thay đổi. Họ được hướng dẫn mở tệp đính kèm của tin nhắn, bao gồm biểu tượng Microsoft Word, để tìm mật khẩu mới của họ và sau đó đăng nhập và thay đổi mật khẩu. Các nhà nghiên cứu của PandaLabs cho biết, tệp đính kèm mở Word để khiến người dùng nghĩ rằng nó hợp pháp, nhưng nó cũng mở tất cả các cổng hệ thống của họ và kết nối với các dịch vụ thư trong nỗ lực gửi thư rác, theo các nhà nghiên cứu của PandaLabs.

Liên kết trong IM giả tải xuống một con sâu chiếm tài khoản Facebook của người đó và khóa chúng, hiển thị thông báo khi họ cố gắng đăng nhập nói rằng tài khoản đã bị treo. Để kích hoạt lại tài khoản, tin nhắn hướng dẫn họ hoàn thành bảng câu hỏi và thậm chí hứa hẹn các giải thưởng cho việc đó.

Bảng câu hỏi thậm chí yêu cầu số điện thoại di động của người đó để nhận "tín dụng tải xuống dữ liệu" và mật khẩu mới sẽ được sử dụng để kích hoạt lại tài khoản. Điều này phá vỡ một số quy tắc chính yếu của điện toán an toàn:

• Không nhấp vào liên kết trong e-mail hoặc IM, ngay cả khi bạn nghĩ rằng bạn tin tưởng người gửi. Những kẻ lừa đảo có thể đã xâm phạm tài khoản của người đó để sử dụng trong các âm mưu bất chính của họ.

• Không mở tệp đính kèm e-mail mà bạn không mong đợi mà không xác minh chúng với người gửi trước.

• Không tình nguyện cung cấp thông tin cá nhân cho bất kỳ trang web nào bạn không tin tưởng và không sử dụng mã hóa. Tìm "https:" ở đầu URL và biểu tượng khóa, gần địa chỉ ở đầu màn hình hoặc trong thanh trạng thái ở cuối màn hình, tùy thuộc vào trình duyệt của bạn.

Chắc chắn sẽ có những nỗ lực mới, tinh vi hơn để lừa người dùng Facebook đưa cho kẻ trộm và rình mò truy cập vào tài khoản của họ. Bảo vệ chống lại họ là trách nhiệm của mọi người dùng Facebook. Nó bắt đầu bằng cách biết những kẻ xấu đang ở ngoài đó chờ chúng tôi thả bảo vệ.

 

Để LạI Bình LuậN CủA BạN