拥有近两亿微博用户的中国不仅成为网民第一大国,还极有可能已是微博第一大国。但短短140字的一条微博,其安全性可否与手机短信相提并论呢?
最近,堪称史上最严重的微博安全事件,就出自微博诞生地美国,并发生在微博鼻祖推特(Twitter)上。黑客似乎正以各种形式宣告,在微博世界中找到了新“暗道”。
“奥巴马已死”震惊全美网络
“消息称:奥巴马在爱奥瓦州一家餐馆被射两枪”、“消息称:奥巴马已死亡”……著名媒体福克斯(FOX)新闻的官方微博近日连发一系列“美国总统奥巴马被暗杀”的假消息,震惊全美网络,造成国际影响。原来,“福克斯”在微博网站“推特”上的注册账号遭受黑客攻击,并被篡夺了“发言权”,于是其微博页面成了谣言传播源。
此事件引起国内网络安全商的高度警觉。360安全专家分析说,黑客攻击推特等微博账户的主要方式是“XSS漏洞攻击”。通俗地说,黑客首先把恶意链接通过评论、私信等方式发给被攻击的目标账户,一旦对方点击链接便触发了漏洞,黑客就能像账号主人一样进行任意操作,甚至再把恶意链接群发给相关网友,使中招账户数量呈几何级数扩增。
专家预计,随着微博影响力逐步提升,黑客针对微博用户的攻击也会日趋活跃,尤其是专业机构、网络名人、“意见领袖”等粉丝数量众多的微博账户,稍有不慎就可能在短时内形成严重负面影响。
钓鱼网站微博频频“打广告”
国内微博也已出现一些安全软肋。不到一个月前,新浪微博“大面积中毒”的消息在网上传开。用户“中毒”后在短时间内向自己好友自动发送大量链接,如“郭美美事件一些未注意到的细节”、某3D影片“高清普通话版下载”等具有“吸引力”的内容。结果一传十、十传百,一小时内超过3万用户转发。
此后新浪微博方面快速修复漏洞、堵住暗道。经技术验证,这其实是一个利用网页安全漏洞而传播的“微博蠕虫”,属于黑客恶作剧行为。但如果这些链接嵌入可执行的恶意程序,那么一旦点击,便真的中毒了。
同时,随着微博的兴起,一些曾以短信、聊天工具为主要传播载体的钓鱼网站频频在微博上“打广告”,其伪装手法仍是“您中奖了”。
记者在微博网站以“中奖”为关键词进行搜索,结果长达数百页。随便点开一条,便是不法分子通过转发、回复等方式,通知博主中奖,奖品为iPhone、iPad等,并附上所谓活动网址及验证码等信息。安全工程师介绍,其实这些网址均指向钓鱼网站,要求用户登录并支付“手续费”等,伺机窃取卡号密码。“切莫随意进入,否则难保平安。”
用户平台安全商合力“打黑”
日前公布的《第28次中国互联网络发展状况统计报告》称,今年上半年,我国微博用户数量从6311万快速增长到1.95亿,半年增幅高达208.9%。方兴未艾的国内微博,仅用半年时间就达到了原先预计的2011年全年用户规模。它带有社交网络的基本属性,具有超高的大众传播效率,在受到网民欢迎的同时,也自然成为黑客不肯放过的“投毒”渠道。目前,其安全防范问题成为一项系统工程,用户端、平台方、第三方安全商等均难以独善其身,还得合力“打黑”。
以微博上随处可见的虚假中奖信息为例,新浪等微博平台均加强了对这类“中奖微博”的自动屏蔽与清除,360等安全平台也开通了中奖诈骗信息或钓鱼链接的在线举报。但同时,这类假微博又多以“火星文”等符号混编而成,或在网址中去掉“www”等,以避免被系统过滤。因此,微博用户还需增强警惕性,注意分辨这些形式特征,因为官方信息不会以不规范文字发布。
“微博安全给互联网安全厂商出了一道新题。”360微博卫士的开发者表示,国内专业的微博安全产品还凤毛麟角,这些“打黑”工具更应成为安全软件的标准配置。
原文链接:http://tech.qq.com/a/20110731/000122.htm