为您揭露攻击者最阴险的七大黑技

核心提示： 四、个人信息与专业信息的交叉混杂即使用户将A社交网站的账户信息用于私用，而将另外一个社交网站的账户用于专业性网络，为您揭露攻击者最阴险的七大黑技(4)，这也无法保证前者的图片不会出现在后者的账号中，甚至“跑”到老板的邮箱中，与我们互联的不仅仅是朋友，还有可能是豺狼，

四、个人信息与专业信息的交叉混杂

即使用户将A社交网站的账户信息用于私用，而将另外一个社交网站的账户用于专业性网络，这也无法保证前者的图片不会出现在后者的账号中，甚至“跑”到老板的邮箱中。不妨考虑一下开放性的社交网络，不管是图片还是工作经历，都可以成为到处复制、粘贴的对象。

五、跨站脚本攻击或跨站请求伪造

跨站脚本攻击及跨站请求伪造漏洞是很显明的攻击工具，有一些社交网络蠕虫使用跨站脚本攻击漏洞帮助其传播。不过多数社交网络拥有对付跨站脚本攻击的机制。而跨站请求伪造则尚未流行起来。

跨站脚本攻击和跨站请求伪造对社交网络站点并未造成巨大的风险。在跨站脚本攻击中，恶意的代码被注入到有漏洞的Web应用程序中，查看这些网页的用户就会被“黑”。在跨站请求伪造中，攻击者会欺骗用户的浏览器发出要求登录的请求。

要知道，在任何时候，攻击者都可以强迫用户加载HTML代码，其潜在的威胁是攻击者通过XSS/CSRF利用浏览器的漏洞、感染僵尸网络、并可操纵用户账户。

跨站请求伪造攻击可以在多个社交网络站点之间跳转，而在用户不断登录之时，这种攻击能够从一个社交网络传播到另外一个网络。从总体上看，跨站请求伪造攻击是一种被人们忽视的黑客行为。

六、身份窃取

简言之，身份窃取指通过假装为另外一个人的身份而进行欺诈、窃取等，并获取非法利益的活动。社交网络的信息可透露一些颇有价值的内容，如受害者的姓名和出生日期。身份窃贼们可以用这些信息猜测用户的口令或模仿这些用户，并最终窃取其身份。

社交网络的用户有时在不经意间将自己的信息拱手让给他人，他们可能将自己的邮件地址、出生日期、电话号码等交给并不熟悉的所谓“网友”。

我们对社交网络用户的一条忠告是，不要回答网站提交的全部问题，或者不要提供自己真实的出生日期。用户不必告诉网站自己真实的教育背景、电话号码等，还要想方设法让窃贼得到错误的其它敏感信息。

七、公司间谍

公司间谍活动在互联网平台日益发展壮大的背景下也有增无减，雇员的个人信息也有可能使公司招致公司间谍风险。

例如，为了实施钓鱼攻击，攻击者所做的是在社交网络站点上搜索公司的雇员，然后摆出一副公司老板或领导的姿态，如以人力资源部领导的身份出现，并向雇员发送电子邮件，如：“亲爱的某某，恭喜你加入本公司。请单击下面的链接访问本公司的内联网，并以你正常的用户名和口令登录，我们将根据你的信息更新配置文件。”尤其要注意的是，刚来公司上班的新人有可能会遭到这样的欺骗。

对付这种间谍行为的唯一办法是告诉雇员要限制所公开的信息，并不要将雇主或老板的名字透露出去，这可以减少通过雇员攻击公司领导及公司的机会。

总之，雇员需要知道，你在社交网络上与不法之徒也许仅有一步之遥。要明白:在社交网站上总有一些黑手在搜索你的信息。与我们互联的不仅仅是朋友，还有可能是豺狼。所以请谨慎地透露你的信息。