商业周刊：网络犯罪瞄准社交网站

北京时间11月23日消息，据国外媒体报道，《商业周刊》近日发表署名为道格拉斯·麦克米伦（Douglas MacMillan）的评论文章称，社交网站犯罪行为日益猖獗，网络犯罪分子可以伪装成社交网站用户的“好友”，来发起攻击达到自己的目的，诸如Facebook、Linkedln和其它社交网站需要应对更多的网络犯罪行为，以下为其原文：　

　　网络欺诈卷土重来 瞄准社交网站 

　　很多用户或许还记得，有的犯罪分子假装成你的同事，请求你帮助向其银行帐号汇款，以度过难关。　

　　现在这类犯罪分子又回来了，或许不久就会以“好友”身份出现在社交网站Facebook上与你联系。 

　　这些诈骗者都采取了类似“尼日利亚诈骗信（Nigerian scams）”的欺骗方式，谎称自己陷入困境需要帮助。本月初，澳大利亚社交网站用户Karina Wells在Facebook上收到了一条信息，其现实生活中的好友Adrian表示，他被困在了尼日利亚而且无法打电话，希望Wells能给他汇去500美元用来购买飞机票。这个“Adrian”甚至利用Facebook的实时聊天服务向Wells请求帮助。 

　　不过，Wells并没有上当。她通知了澳大利亚相关机构和Facebook网站，两者都对此事进行了调查。尽管该事件的细节信息至今尚未被证实，不过Facebook的官员认为，有人通过“钓鱼”方式欺骗Adrian登录了一个虚假网站，并进一步窃取了他的Facebook登录帐号和密码。该事件已先后被悉尼当地媒体和《商业周刊》报道。 

　　Wells识破了这个过于露骨的骗局，不过政府官员和安全专家警告称，随着越来越多的人使用社交网站与朋友互相交流，诸如此类的攻击将会在网络虚拟世界非常普遍。 

　　社交网站人气暴涨 犯罪比例也大增 

　　根据美国联邦调查局（FBI）和美国国家白领犯罪中心（National White Collar Crime Center）表示，电子邮件现在依然是犯罪分子联系潜在攻击对象的主要渠道，不过他们的目光已经逐渐开始转向网页方式，其中包括社交网站。根据这些机构提供的数据称，去年一年中，在美国因网络犯罪而导致的经济损失上升了21%，达到了2.39亿美元。而在这些网络诈骗案中，通过网页被骗的受害者的数量占据了32.7%，比2005年上升了16.5%。据政府官员表示，社交网站的普及是造成该犯罪数量增长的主要原因。FBI网络犯罪调查部门的主管Shawn Henry表示，“人们在社交网站上放松了警惕，认为在社交网站上不会担心受到身体上的伤害。” 

　　Henry还提到，随着社交网站现在更加普及，“许多犯罪分子现在已经转向计算机网络，原因是他们的攻击对象也开始更多的出现在网络上，所以犯罪分子在网络上发起攻击的机会也开始增多。”根据网络调查公司ComScore表示，在今年10月份，所有社交网站的独立访问用户数已经达到了6.89亿，相比去年增长了35%。 

　　对于一个熟练的网络使用者来说，在网上冒充别人并不是一件困难的事情。11月18日，洛杉矶联邦法院开庭审理了一起网络案件，在该案件中Lori Drew冒充他人并导致13岁的女孩Megan Meier上吊自杀。Drew伙同她的女儿及其雇员，共同策划了该案件。他们首先冒充一位名为Josh Evans的男孩，与Meier在MySpace上成为朋友，之后又将“Josh”与Meier的聊天记录故意在网络上曝光，以便羞辱Meier。当“Josh”发送了最后一条信息之后不久，Meier便上吊自杀。最后一条信息的内容是“如果没有你，世界会变得更好”。Drew现在面临四项指控，其中一项为诈骗罪，另外三项为非法侵入他人计算机。 

　　简单试验愚弄安全专家 

　　两位安全专家曾在社交网站LinkedIn上进行了一项实验，来证明在网络上冒充他人是多么简单。这两名专家分别是来自FishNet Security的Shawn Moyer，和来自Idea Information Security的Nathan Hamiel，他们获得了一位朋友的许可，在LinkedIn上建立了一个伪装页面来欺骗专业人士。Moyer和Hamiel冒充的是某安全厂商现任首席安全官Marcus Ranum，此人曾为白宫网站架设了第一台电子邮件服务器。Moyer和Hamiel通过网络搜索获得了Ranum的简历和照片，并将其填写在个人资料中。然后，他们便伪装称Ranum与一些安全领域的专业人士联系，其中包括一些大公司的首席安全官和首席信息官以及安全杂志主编、国防安全专家等，希望能在社交网站上加这些人为好友。 

　　虽然这些人都是网络安全方面的专家，也同样有不少人受到了欺骗，接受了其加好友的请求。更加糟糕的是，当这个假冒的“Ranum”成为安全专家们的好友后，就更加容易获得其它人的信任。Ranum表示，“我曾经以为安全专家们应该比普通人具有更好的警惕性，”但是，通过该实验证明并非如此，Moyer和Hamiel此前的猜测是正确的，如果掌握了好友的姓名、照片和一点正确的现实信息，犯罪分子可以轻松的打消社交网络用户的疑虑。Moyer表示，“如果我想混进IBM会发生什么？如果我想混进美国国防部又会发生什么？连这些安全专家们都这么容易上当，Ranum的其它朋友不上当的可能性又有多大？” 

　　社交网站加强监管是双刃剑 

　　社交网站想靠自身的力量解决这类问题，恐怕不是一件容易的事情。每一个主流社交网站的服务条款中都明确规定，禁止冒充其它用户身份。来自某律师事务所的Gene Landy表示，“网络世界与现实生活一样，都禁止假冒他人的做法。”在这两个世界中，冒名顶替者所承受惩罚的力度大小，都由相关行为所带来伤害大小来决定。举个例子来说，如果你冒充某个用户的前女友，并在Facebook上公布一些令人尴尬的照片，你可能构成民事侵权行为；但是，如果你伪装他人来窃取金钱或发布敏感信息，你的行为就有可能构成刑事犯罪，遭受更严厉的惩罚。 

　　对于社交网站来说，落实监管规则的执行可能是一柄双刃剑，它们不希望因为一个过于严格的认证机制而吓跑自己的准用户。Facebook安全主管Max Kelly表示，Facebook已经采取了一些措施，例如限定用户无法使用Facebook的“黑名单”中的名字进行注册。另外，Facebook还对一些可疑的行为进行了限制，例如，不允许用户在短时间内发送几百条短信。同时，Facebook也致力于教育用户提高安全意识，Kelly表示，如果用户在通过Facebook与朋友进行交流时，能保持足够的警惕性，那么犯罪分子也就没有机会去达到自己的目的。他同时还补充说，他不排除Facebook以后可能采取更多的方式来验证用户的身份。 

　　安全专家Moyer承认，对于社交网站LinkedIn来说，恐怕很难有办法完全阻止他所进行的实验。不过，包括Linkedln在内的社交网站应该采取更多的措施来认证用户。他建议，其中一个办法是，新用户的资料应该增加类似“创建日期”之类的时间戳，这样其它用户就可以知道该账户是何时创建的。这可以阻止犯罪分子每天创建大量的帐户。另外，社交网站还应该开发某种预警系统，让用户来帮助识别一些可疑的行为。 

　　不过，最好的防护方法还是教育网络用户提高警惕性。Moyer表示，“当我收到一个好友请求是，我一般会问他，上一次我们共进晚餐时他穿一个什么样的T恤。” 

　　要想识别对方的身份，一个简单的办法就是花点时间来查看对方的个人简历，看看对方的帐号激活了多长时间，看一下他的好友彼此之间的熟悉程度，同时也可以看一下此人所发布的信息和多媒体资料，以加强对他的了解。 

　　当所有这些都无法判定其身份真假时，最好的办法就是，如果对方向你索取钱财和银行帐户信息，即便对方是你熟悉的人，也要加倍提防。（梧桐雨）