Пять скрытых угроз социальных сетей

Социальные сети становятся все популярнее день ото дня, но чем они популярнее — тем и небезопаснее. Какие же самые главные угрозы могут подстерегать нас там?..

Когда вы радостно заходите на свою страницу в Facebook, оставляете комментарий в Твиттере и просматриваете картинки на Flickr, очень легко забыть о том, что вы находитесь на самой лакомой для фишеров, скаммеров и хакеров площадке.

Киберпреступники следят за трендами и сосредотачивают свое внимание там, где больше всего народу, поэтому очень важно защищаться от того, от чего вы можете пострадать. «Руформатор» представляет перевод статьи портала Discovery News, из которой вы узнаете, какие угрозы опаснее всего среди ныне существующих.

5. Бесплатный сыр

В социальных сетях можно играть в игры с помощью приложений, которые предлагают зарабатывать «голоса» (добавление от «Руформатора»: это если оперировать терминологией соцсети «ВКонтакте»). Но авторы будут предлагать кредиты для самой игры, которые можно купить онлайн или списать средства с вашей кредитной карты. Последнее особенно поощряется, напрямую или с помощью PayPal, чтобы получить видимое преимущество в игровом мире. Часто это может закончиться тем, что вы заплатите больше денег, чем стоит такая игра вообще.

Негативная реакция пользователей вынудила крупнейших производителей подобных игр, наподобие Zynga, производителя Farmville (добавление от «Руформатора»: в русском варианте это «Счастливый фермер») и Mafia Wars, удалять рекламные предложения, которые вводят пользователей в заблуждение, вынуждая их что-то купить или подписаться на сервисы. Жалобы привели к судебным искам против Facebook и Zynga за недобросовестное отношение к пользователям и подписку на эфемерное нечто.

Поэтому никогда не принимайте предложений сыграть в игру за реальные деньги, и всегда помните, что такие игры предназначены прежде всего для того, чтобы создатели зарабатывали на них. По возможности избегайте предложений о покупке игровых кредитов, если для этого требуется что-то купить или на что-то подписаться, особенно если условия прописаны мелким шрифтом.

4. Игры

Игры в социальных сетях и приложения, которые запрашивают ваше разрешение на доступ к личной информации, на самом деле могут заниматься сбором данных для того, чтобы предложить вам очередную рекламу за доступ к их программе. Не все приложения, группы или игры законны и безопасны. Одно такое приложение, Secret Crush, которое вышло в 2008 году, содержало в себе шпионский модуль, который занимался тем, что предлагал эту программу вашим онлайн-друзьям.

Иногда угроза исходит от уязвимости в коде, которая используется для сбора информации, которую намеревались скрыть от посторонних глаз. В любой программе всегда есть потенциальные уязвимые места, о которых вы не знаете, но знает кто-то другой. Социальные сети прилагают все усилия, чтобы находить такие уязвимости и устранять их, но незамеченных и неоткрытых «дыр» остается все еще очень много.

Всегда контролируйте политику конфиденциальности вашей социальной сети и возможности блокировать доступ к частям ваших персональных данных, например, к контактной информации. Узнайте о приложении как можно больше, прежде чем устанавливать его. Различные обзоры в Интернете, например, являются отличным средством, помогая выявить опасное ПО.

3. Телефоны

Многие приложения обещают всякие бесплатные полезности, вроде гороскопов, советов для семейной жизни и прочую ерунду, но настаивают на том, что результаты могут быть посланы только на ваш мобильный телефон в виде SMS. Как только вы вводите свой телефонный номер, приложение получает «белый билет» на снятие денег с вашего счета столько, сколько хочется.

Обычно на странице приложения есть детализированное объяснение тому, за что и как списываются деньги, но спрятан данный текст так глубоко, как только можно. И к тому моменту, когда вы поймете, что денег на счету телефона уже нет, вы уже и не будете помнить, как это случилось.

Популярный пример — приложение How Well Do You Know Me, которое включает себя тест IQ и другие общие вопросы. Приложение перебрасывает вас со страницы социальной сети на другую, которая выглядит подозрительно похожей — что дает ложную уверенность в том, что вы защищены от подделок.

Никогда не вводите номер вашего мобильного телефона до тех пор, пока вы не будете знать на 100%, за что платите. И маловероятно, что вы сможете оспорить списание денег постфактум. Запрос номера вашего телефона сразу же должен вызвать подозрения в том, что предлагаемая услуга вовсе не бесплатна.

Первое добавление от «Руформатора»: в отечественном варианте данный вид жульничества имеет немного иной принцип, вам предлагается отправить SMS для получения кода доступа к результатам теста на IQ или чего-то аналогичного на сайте. То есть нужна какая-то дополнительная реакция, а не просто ввод номера телефона.

10 февраля 2011
Самые опасные Web-сервисы и приложения 2011 года
Согласно данным экспертов по информационной безопасности компании WatchGuard Technologies, наиболее быстро растущей угрозой для корпоративных сетей являются Web-сервисы и приложения, распространяемые через социальные сети. Данные приложения могут создавать серьёзную угрозу безопасности корпоративной сети, подвергая риску сохранность конфиденциальных данных. При этом снижается производительность труда сотрудников компании.

Существует множество причин, по которым приложения Web 2.0, распространяемые через социальные сети, представляют угрозу для любых предприятий. Вот некоторые из них.

Снижение производительности труда сотрудников
Множество научно-исследовательских организаций пришли к выводу, что компании ежегодно теряют миллиарды долларов из-за снижения производительности труда сотрудников, активно использующих приложения и сервисы социальных сетей. С одной стороны, социальные сети можно использовать для обеспечения совместной работы и формирования деловых связей, но с другой — ИТ-администраторы часто не имеют возможности контролировать Web-приложения и сервисы в социальных сетях и управлять ими.

Утечки данных
У многих компаний все большую обеспокоенность вызывает проблема утраты важной и конфиденциальной информации. Имея средства контроля Web-приложений и сервисов, ИТ-администраторы могут снизить риски, связанные как со случайной, так и со злонамеренной утечкой данных.

Атаки и вредоносные программы
Специалисты компании WatchGuard Technologies утверждают, что в течение следующих трёх лет социальные сети станут главным источником вредоносных программ, и называют причины этого.

1. Общение в социальных сетях способствует повышению взаимного доверия между пользователями

Основной функцией социальных сетей является взаимодействие пользователей друг с другом. Как правило, общение с людьми, внесенными в группу “Друзья”, бывает доверительным. Но в то же время социальные сайты не имеют технических средств для проверки и подтверждения того, что пользователи, с которыми вы общаетесь в социальной сети, действительно являются теми людьми, за которых себя выдают. Таким образом, атмосфера доверия создает идеальные условия для реализации атак с использованием методик социальной инженерии.

2. Технологии приложений социальных сетей имеют множество уязвимостей

Несмотря на то что использование технологий Web 2.0 дает компаниям множество преимуществ, подобные средства грешат серьёзными уязвимостями с точки зрения безопасности. Разработка приложений Web 2.0 очень сложна, в силу чего их программный код имеет массу недоработок. В результате возникают такие уязвимости, как SQL-инъекции и атаки с использованием XSS (cross-site scripting — межсайтовые сценарии). Это значит, что социальные сети подвергнуты Web-уязвимостям и атакам гораздо в большей степени, чем более простые и менее интерактивные интернет-ресурсы.

3. Чрезвычайная популярность

Социальная сеть Facebook в настоящее время занимает второе место по посещаемости после Google. Ненамного от них отстают и другие ресурсы этого типа, такие как Twitter и YouTube. В свою очередь растущая популярность социальных сетей вызывает все больший интерес со стороны злоумышленников.

По данным исследования, проведенного экспертами компании WatchGuard Technologies, наиболее опасными являются следующие Web-ресурсы:

Facebook. Уровень опасности самой широкоиспользуемой социальной сети напрямую связан с ее высокой популярностью. Более 500 миллионов пользователей Facebook предоставляют хакерам огромные возможности для реализации атак. Добавьте к этому вероятность технических проблем, обусловленную недоработкой программного кода сервисов и приложений, открытостью и ненадёжностью используемых API, — этого достаточно, чтобы в сети возникла чрезвычайно опасная ситуация;

Twitter. Существует опрометчивое предположение, что 140 символов, содержащихся в одном сообщении Twitter, не создадут большой угрозы безопасности сети. Напротив, в некоторых случаях краткая форма сообщений приводит к появлению новых уязвимостей, таких как URL shorteners (маскирование полного пути доступа к Web-ресурсу с помощью отображения гиперссылки). Данная функция помогает пользователям сэкономить место при написании сообщений Twitter, но в то же время, используя URL shorteners, хакеры могут скрыть за гиперссылкой путь к вредоносным ресурсам. Кроме того, Twitter имеет множество других уязвимостей, связанных с технологиями Web 2.0 и API-интерфейсами, которые позволяют осуществлять различные виды атак и даже способствуют распространению сетевых “червей” среди пользователей Twitter;

YouTube. Поскольку YouTube является одним из самых популярных сайтов размещения и просмотра видео в режиме онлайн, злоумышленников очень привлекает возможность проведения атак с использованием ресурсов этого сервиса. Киберпреступники довольно часто создают вредоносные Web-страницы, которые маскируют под страницы YouTube. Кроме того, хакеры нередко используют раздел комментариев к видео для размещения вредоносных ссылок;

LinkedIn. LinkedIn является бизнес-ориентированной сетью с высокой посещаемостью и, как следствие, имеет большую нагрузку. Более того, деловой характер ресурса подразумевает высокую степень доверия между пользователями. Оба этих фактора делают сеть LinkedIn привлекательной мишенью для злоумышленников. Поскольку большинство пользователей используют сеть LinkedIn для формирования деловых отношений или поиска работы, то зачастую они размещают на ресурсе личную и конфиденциальную информацию;

4chan — популярная общедоступная социальная сеть, где пользователи размещают фотографии и графические изображения, а также оставляют свои комментарии. Пользовательские страницы в сети 4chan могут даже содержать непристойный контент. Злоумышленники часто размещают большое количество вредоносных ссылок на страницах форума 4chan;

Chatroulette. Это многообещающий и быстро развивающийся ресурс, который позволяет общаться с помощью Web-камеры. При этом пользователи выбираются случайно, таким образом общение в сети происходит между незнакомыми людьми. Механизм работы данной системы анонимного общения вызывает повышенный интерес злоумышленников.

О чем врут пользователи социальных сетей в России?
Сегодня, 12:01 Новостная служба Ferra

Всероссийский центр изучения общественного мнения (ВЦИОМ) собрал данные о том, сколько россиян пользуется социальными сетями и блогами, какую информацию готовы указывать о себе в этих ресурсах и о чем чаще всего говорят неправду. Опрос был проведен 5-6 февраля среди 1600 человек в 138 населенных пунктах России. Согласно этим данным, в социальных сетях сейчас зарегистрировано более половины пользователей Интернета в России (52%). В первую очередь, это уральцы (65%), сибиряки (67%) и дальневосточники (64%), жители крупных городов (60%), 18-24-летние пользователи (67%) и обеспеченные респонденты (65%). Меньше всего пользователей социальных сетей нашлось в Северо-Западном округе (38%), средних городах (44%), среди пожилых (15%) и малообеспеченных пользователей Интернета (42%).



Блогами, при этом, пользуются лишь 7% российских Интернет-пользователей. В социальных сетях и блогах пользователи готовы сообщать о себе, в первую очередь, такую информацию, как возраст (87%) и пол (84%). Многие не отказываются сделать открытыми такие сведения, как образование (71%), семейное положение (64%), хобби (62%), любимая музыка и кинофильмы (51%). Для большинства опрошенных не вызывает трудности и предоставление своего фото (65%). Гораздо менее охотно посетители сообщают свои координаты - место учебы (38%), работы (25%) или жительства (32%), а также сведения о национальности (по 31%), занимаемой должности (27%) и вероисповедании (20%). О политических взглядах и уровне дохода распространяются и вовсе немногие - 14% и 10% соответственно.

При этом, не всегда предоставляемая о себе информация является правдивой. Сообщать о себе в социальных сетях и блогах неправду хотя бы однажды приходилось половине пользователей этих ресурсов (51%). В первую очередь, к этому склонны 18-24-летние респонденты (59%). Чаще всего искажают имя и возраст (по 29%), семейное положение (23%), внешность и хобби (по 22%). Реже предоставляются неверные сведения об уровне образования и месте обучения (по 17%), месте жительства, месте работы и занимаемой должности (по 15%), профессии и сексуальных отношениях (по 14%), уровне доходов и национальности (по 13%). И совсем нечасто информацию о своих политических и религиозных взглядах - 11 и 10% соответственно.

Это не первое электронное сообщение, которое Лена получает от Facebook. Раньше она сразу удаляла их, но на этот раз озадачена. Пользователь приглашает ее присоединиться к самой крупной социальной сети в мире, и Facebook сразу же предлагает другие возможные контакты — как хороших друзей, так и просто знакомых. Но откуда Facebook известно, с кем общается Лена? Все больше людей сталкиваются с подобными ситуациями, потому что
Facebook стремительно разрастается.Около 3,5 млн россиян общаются со своими друзьями на этом вебсайте, и большинство из них зарегистрировались за последние полгода.
Уже каждый четвертый интернет-пользователь в мире имеет аккаунт на Facebook. Это масса людей, которые позволяют данному сервису собирать информацию о социальных отношениях, в том числе за пределами собственной страницы. Мы расскажем о простых, но эффективных технологиях Facebook по получению подобных сведений. Кроме того, вы узнаете, какова цель таких исследований и как препятствовать сбору личных данных.
Сомнительно:
сканирование адресных книг
Facebook очень много знает о своих пользователях, которые оставляют на сайте персональную информацию.
С их помощью она узнает и о людях, избегающих ее. Инструментом для этого служит «Поиск друзей». Пользователи Facebook позволяют социальной сети с помощью этой функции «просматривать» собственный аккаунт электронной почты (в Gmail, «Яндекс.Почте» или «Рамблер-Почте») и узнавать имена и адреса контактов, содержащиеся в адресной книге. Для этого пользователю достаточно ввести свой e-mail и пароль от него или загрузить файл с контактами из почтовой программы. Также система поиска друзей может просматривать контакты службы I Р-телефонии Skype, мессенджеров QIP и
ICQ. Полученную таким образом информацию Facebook сверяет с базой уже зарегистрированных участников сети и в случае совпадения предлагает
их как потенциальных друзей. Незарегистрированным знакомым, таким как Лена. Facebook по желанию пользователя отправляет приглашение.
Контакты уже отобраны, так что достаточно одного щелчка мышью. Импорт контактов обеспечивают и социальные сети. В России Facebook показывает информацию о пользователях «В Контакте», находя ее через «Яндекс. Поиск по блогам». В отличие от других, социальная сеть из Калифорнии сохраняет не только адреса электронной почты, но и их связи друг с другом и таким образом получает точное представление о структуре социальных отношений.
По оценкам специалистов, даже если только часть из примерно 600 млн пользователей загружает свои контакты, то Facebook должно быть известно около 90% всех рабочих с mail-адресов в мире.
Удобно:
быстрый поиск друзей
Пожалуй, Facebook вряд ли смогла бы стать популярной социальной сетью, не собирая информацию о пользователях. Ведь поиск друзей — это самый быстрый способ найти знакомых, зарегистрированных на этом ресурсе. Сбор информации необходим и потому. что сама Facebook не предлагает собственного контента, а является платформой, которая позволяет людям оставаться на связи с друзьями и близкими. С ними можно обменикаться различной информацией — фотографиями, видео, интересными ссылками или личными сообщениями. Благодаря этому Facebook является одновременно почтовым сервисом, фотоальбомом, мессенджсром, службой закладок и главным местом встречи в Сети, особенно для молодых пользователей. Здесь можно не только общаться с друзьями, но и следить за новостями компаний и продуктов (например, журнала CHIP на странице ww.facebook.com/chiprussia) или новостных сайтов. Таким образом, всякому, кто не хочет смотреть на пустые страницы, необходимо добавить контакты. Кроме инструмента поиска друзей Facebook предлагает и другие возможности, которые облегчают поиск и пополняют информацией базы данных. Большой популярностью пользуются приложения для мобильных телефонов, с помощью которых можно делиться новостями с друзьями, даже находясь в пути. Согласно данным самой Facebook, около 200 млн человек пользуются такими приложениями, предназначенными для всех основных платформ (iOS, Android, Windows Phone и Symbian). При первой настройке ПС синхронизирует все сохраненные в телефоне данные контактов и передает на Facebook имена, номера телефонов и адреса электронной почты. Это можно предотвратить, если убрать едва заметный флажок, по умолчанию установленный напротив соответствующей опции.
Еще больше опасений вызывает сбор информации, который начнется вместе с запуском почтового сервиса анонсированным 15 ноября 2010 года
В нем социальная сеть объединит не только внутренние сообщения и чаты, но и внешние электронные письма и SMS. Как только вы отправите e-mail или SMS-послание пользователю Facebook, использующему эту функцию, социальная сеть сохранит ваши данные. Пока трудно сказать, каким образом в дальнейшем будет использоваться подобная информация. Поиск друзей, приложения для мобильных телефонов и почтовый сервис создают эффект снежного кома: пользователи Facebook приглашают своих знакомых, которые после этого регистрируются и, в свою очередь, рассылают приглашения другим людям. Это работает настолько эффективно, что даже спустя шесть лет с момента своего основания Facebook непрерывно разрастается почти в каждой стране (во многих странах — на 5-10% ежемесячно). Для социальной сети личные приглашения очень удобны, так как люди склонны доверять своим друзьям.
В результате подобной политики Facebook составляет географическую карту соци&тьных отношений — и не только с целью улучшить мир, сделав его более открытым и единым, но и для получения прибыли.

Выгодно: информация
о пользователях приносит деньги
Facebook управляет 575 млн пользовательских профилей, а также миллиардами фотографий, видео и сообщений из пяти дата-центров (с 8000 серверов в каждом), расположенных в Лондоне и Нью-Йорке. В ноябре началось строительство шестой серверной фермы стоимостью $450 млн в штате Северная Каролина. Но откуда берутся эти деньги? Так как акции Facebook пока не котируются на бирже, социальная сеть не называет точных цифр, но средства поступают главным образом из двух источников: внешние кредиторы и доходы от рекламы.
Начиная с 2004 года в ходе семи крупных раундов финансирования доли в Facebook были приобретены частными лицами и компаниями. среди которых — Microsoft ($240 млн — 7,44 млрд рублей) и российская инвестиционная фирма DST, владелец почтовой службы Mail.ru ($400 млн — 12,4 млрд рублей). Объемы доходов Facebook от скромных рекламных объявлений неизвестны. Однако инсайдеры подсчитали, что в 2009 году они составили $800 млн (24,8 млрд рублей), а прибыль была равна трехзначной цифре в миллионах. Facebook постоянно подчеркивает, что сервис является бесплатным для всех. Однако каждый должен осознавать, что социальная сеть хранит подробную информацию о зарегистрированных пользователях и в значительной мере даже о тех, кто предпочитает держаться в стороне. К сожалению, эти сведения не всегда защищены, как показывает ряд информационных скандалов
На это Facebook закрывает глаза — социальной сети вообще нельзя хранить такую информацию.

Запрещено:
игнорирование законов
Федеральный закон о защите информации разрешает собирать персональные данные без согласия лица только при условии, если этого требует законодательство. На Facebook данные исключения не распространяются, так что хранение информации о незарегистрированных в социальной сети людях, таких как Лена, — преступление. Строго говоря, пользователи уже нарушают право на конфиденциальность данных, передавая Facebook адреса электронной почты третьих лиц без их согласия. Устаревшие законы не могут дать ответы на частные вопросы, поднимаемые такими интернет-сервисами, как Facebook. Поэтому правовая основа — это одно дело, а осуществление данного права — совсем другое. Конечно же, Facebook следует придерживаться российских законов, так как она предлагает русскоязычную версию сайта. Но какие функции допустимы, а какие нет, должны проверять юристы в каждом отдельном случае. Другая, скорее теоретическая возможность — требовать от тех, кто передал свои данные Facebook. подписать соглашение о не предъявлении претензий. Но пока она еше ни разу не была реализована.

Неприятно: слабая защита
пользователей
Между тем каждый должен сам препятствовать процессу сбора информации. Facebook предлагает для этого две возможности, но даже они являются лишь выбором из двух зол. Первый вариант — в каждом письме с приглашением находится ссылка, перейдя по которой можно запретить Facebook в дальнейшем отправлять сообщения. Поставленный флажок означает, что Facebook сохранит ваш адрес электронной почты для синхронизации и будет знать, кто
отправляет вам приглашения. Вторая возможность хорошо запрятана на странице Справочного центра Facebook. Перейдя по ссылке http://www.facebook.com/help/contact.ph ... se_removal, можно удалить всю информацию о себе, имеющуюся в базах данных социальной сети.
Недостатком этого варианта является то, что Facebook совершенно «забудет» вас. в результате вы снова станете получать приглашения и опять попадете в базу данных. Так что ликвидировать сведения о себе придется после каждого полученного приглашения. К сожалению, других способов защитить свою личную информацию от Facebook не существует. Если же вы ничего не предпринимаете, то рано или поздно станете частью социальной сети. Потому что сейчас все дороги ведут не в Рим, а на Facebook.

По страницам

Компания ESET - зафиксировала высокую активность кибер-угроз, нацеленных на пользователей социальной сети Facebook. В силу своей популярности социальные сети сегодня стали одним из основных источников распространения вредоносного программного обеспечения. При этом ежедневно сотни тысяч пользователей подобных ресурсов подвергаются различным атакам со стороны злоумышленников. Facebook - самая популярная и многочисленная социальная сеть, аудитория которой составляет на сегодняшний день более 600 миллионов пользователей, что, естественно, способствует развитию киберпреступности в рамках данного ресурса.

В середине февраля специалисты аналитического центра кибер-угроз ESET в Сан-Диего (ESET Cyber Threat Analysis Center) провели исследование активности вредоносного ПО в социальной сети Facebook. При этом вирусные аналитики ESET обнаружили большое количество злонамеренных программ, распространяющихся в рамках данного ресурса. Самыми распространенными угрозами в списке выявленного вредоносного ПО оказались Win32/Yimfoca.AA и Win32/Fbphotofake. Уже на протяжении нескольких недель эти черви возглавляют рейтинги угроз в Австрии, Италии, Чехии и Словакии.

Программа Win32/Yimfoca.AA опасна тем, что при заражении компьютера злоумышленники получают полный удаленный контроль над системой, через реализованный функционал бэкдора (backdoor). Также Win32/Yimfoca.AA может загружать и запускать другое вредоносное ПО, в том числе фальшивые антивирусы. Для своего распространения червь использует чат в сети Facebook. Также данная угроза проникает в компьютеры с помощью сторонних программ-месенджеров (Skype, MSN, Yahoo Messenger и другие), предоставляющих возможность пользователям Facebook обмениваться мгновенными текстовыми сообщениями.

Червь Win32/Fbphotofake использует технологии социальной инженерии, распространяясь с помощью сообщений от уже зараженных друзей из списка контактов в Facebook. Сразу после заражения компьютера Win32/Fbphotofake получает контроль над учетной записью пользователя в Facebook и начинает рассылать спам-сообщения по всей его адресной книге в социальной сети.

«Атаки с использованием социальной инженерии являются одними из самых опасных угроз, - отмечает Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. – Это связано с тем, что принятие решений относительно действий, которые злоумышленники предлагают выполнить пользователю или провоцируют его на них, полностью ложатся на его плечи. И порой подобный подход к распространению вредоносных программ оказывается весьма успешным. При этом любая из известных социальных сетей привлекает злоумышленников достаточно широкой аудиторией, что мотивирует их на постоянный поиск различных механизмов распространения вредоносных программ внутри таких ресурсов. Поэтому количество угроз для пользователей социальных сетей с каждым годом только возрастает, а усложнение функционала самих сервисов способствует возможности появления новых уязвимостей, которыми непременно воспользуются киберпреступники».

Считаю, что если такое общение заменяет живое, то это ужасно! Если подходить к ним адекватно, то они не помогают и не мешают, они просто остаются "за кадром"! Я зарегистрирована в трёх социальных сетях, но это далеко не первые места, куда я иду в интернете! Хотя я с удовольствием посмотрю фотографию доченьки моей бывшей одноклассницы, с которой мы бы никогда не увиделись, если бы не социальные сети! Но живое общение с друзьями я НИКОГДА не поменяю на общение с ними в интернете! Первое место, куда я иду в интернете - это наш форум и аська!

А я их не смотрю, эти сообщения!