随着用户蜂拥进入社交网络,不可避免地带来了垃圾信息发送者。根据最新实验表明,相比电子邮件,用户更易接受通过社交网络发送的垃圾信息。
比特梵德(BitDefender),一家位于罗马尼亚布加勒斯特的一家反病毒公司里,一个由乔治•皮特里(George Petre)领导的团队,完成了针对社交网站的垃圾信息发送技术有效性的测试实验。他们发现诱骗Facebook用户添加他们不认识的人为好友简单得令人惊讶;他们还发现许多用户愿意点开链接,即使不知道谁发给他们的或者链接指向何方。
在3月底于马萨诸塞州剑桥市举行的麻省理工垃圾邮件会议(MIT Spam Conference)上,皮特里讲述了垃圾信息发送者如何利用社交网络的消息系统诱骗用户点开链接或者收集用户信息以有针对性地发送邮件。
大部分社交网络都拥有为用户交流设计的内部消息系统。皮特里的团队检验了号称拥有5%的世界人口作为用户的Facebook的消息系统。尽管Facebook有反垃圾信息引擎,但小组发现它在过滤钓鱼电子邮件方面比阻拦垃圾信息更有效。
团队通过创建虚假账户欺骗用户加其为好友。他们创建了三个账户,一个几乎没有任何资料的用户;一个拥有少量资料的用户;以及一个有着详细信息的用户。他们使用这些账户加入广受欢迎的小组,然后发出交友请求。
在24个小时内,85个用户同意添加第一个账户为好友, 108个添加第二个账户为好友,而第三个则有111个。皮特里表示同意请求的人数会加速增长,因为超过一半的情况下,如果用户和虚假账户拥有“共同好友”,则会同意该请求。他表示,一些情况下,用户会发短消息询问他们是如何知道自己的。研究员并未对此作出回应,但许多情况下,皮特里表示,用户依然接受了请求。
虚假朋友:这张屏幕截图显示真实的用户与乔治•皮特里及其同事创建的虚假Facebook用户成为朋友。
来源:比特梵德
随后,研究员在虚假账户的消息墙上发布一个没有任何说明的链接,使用了简短化的地址以隐去链接目的地。该账户约25%的“好友”访问了该链接,皮特里如是说。
皮特里表示,为了发送信息给大量用户,垃圾信息发送者通常诱骗用户加入小组并加虚假账户为好友。比如说,在海地地震之后,骗子们在Facebook创建了小组,声称社交网络公司将为每个加入小组的用户给海地救援捐款。在Facebook发现该行为并封杀小组前的5天内,该小组收拢了将近200万成员。当小组尚未被封杀时,皮特里表示,曾被用来给组员发送垃圾信息。
垃圾信息发送者还可以给接受其好友请求的账户发送大量信息。皮特里发现骗子们利用社交游戏与合法用户接触。在许多游戏中,比如说开心农场(Farmville),用户通过结识网络上玩相同游戏的朋友取得领先。这样,Facebook就有很多帮助用户与其他玩家联系的小组。这也给垃圾信息发送者提供了联系用户的方式。
一旦建立联系,垃圾信息发送者就不仅仅发垃圾信息了。他们可以挖掘用户信息,以及他们的联系人,从而建立更具针对性的诈骗消息。骗子们还在账户中发布链接以吸引用户浏览广告,或者访问钓鱼网站或附有恶意软件的网站。尽管垃圾信息发送者理论上可以使用脚本从其他用户档案中获取电子邮件地址,但Facebook采取了一些保护措施,使这种方式难以在不被发现和阻拦的情况下进行。
鉴别与跟踪垃圾信息软件Knujon的创始人加斯•布鲁恩(Garth Bruen)表示:“社交网络垃圾信息可能比传统垃圾信息更危险,因为它具备盲目发送大量电子邮件所不具有的信任因素。”他表示,通过挖掘社交网络,罪犯可以访问个人资料,比如居住地址、常去的酒吧,或者喜欢的电影。他说:“这是与陌生人建立信任有效手段。”尽管布鲁恩指出,社交网络的垃圾信息发送比传统方式耗资更大,但他相信投资回报会更大。
麻省理工垃圾邮件会议主席,阿克伦大学(University of Akron)计算机教授凯茜•莉卡(Kathy Liszka)表示,与垃圾信息做斗争将不只关乎数学与统计。她说,目前垃圾信息与恶意软件公司正网罗具有心理学背景的人才,而皮特里的工作显示出,社交网络为垃圾信息发送者尝试更复杂的操纵方式提供了更肥沃的土壤。莉卡说:“如果我们不考虑心理学因素,我们将再次失败。”
垃圾信息瞄准社交网络
评论
8 views