网络犯罪分子通过社交媒体收集企业敏感信息

庞大到媒体帝国，平民至便利商店，每家公司都纷纷将自己推到网络上，用最快也最具成本效益的方式来接触他们的客户。这是社交网络所带来的好处，也是企业们驻足的原因。但你知道社交网络对企业是有风险的吗？不管规模大小。

关于社交网络，中小企业应该知道的五件事





事实一

各种规模、类型的企业都在使用社交媒体。

并不只有大企业才使用社交媒体，小企业也会。在美国，大多数（58%）中小企业主会在社交媒体上展开活动并进行互动。注1

Facebook 上的公司网页对中小企业来说是排名最高的社交媒体渠道（29%），其次是在Facebook 上互动或发布消息（23%），随后是在产业相关社群上互动（19%）。原因很简单，这些基本上都是免费的营销，只要有计算机和网络就可以了。

中小企业肯定能够通过社交媒体接触到大量消费者。跟据ComScore 的统计，全球网民有 84% 会使用社交网络网站。注2大多数人会花五分之一的网络时间在社交网站上。在美国，社交网络的使用量几乎增加了一倍，而在中国也增加了一半（53%）。注3

事实二

越来越多人在工作时浏览社交网站。

在 Salary.com 最近一项关于浪费工作时间的全球调查中发现，几乎有三分之二的人（64%）承认自己在工作时访问与工作无关的网站。在这些网站中，Facebook 是最受欢迎的虚拟聚会场所（41%），其次是LinkedIn（37%）。注4

这消息其实并不令人惊讶。事实上，一项趋势科技在美国针对 709 名受访者所做的IT 信息安全人员的问卷调查中发现，有 54% 的员工在工作时因为个人原因使用社交媒体。而中小企业的员工中有超过五分之三这样做。注5





图一、用户是否会因为个人原因在工作时使用社交媒体的比例

46% 的人：在工作时不会因为个人原因使用社交媒体

54% 的人：在工作时会因为个人原因使用社交媒体

事实三

社交网络威胁即使对小型企业也是一视同仁。

中小企业应该要知道，不管是大是小，它们都不能幸免于社交媒体威胁。中小企业员工就和其他大部分用户一样，也会落入社交媒体上的恶意陷阱。





假冒的 WhatsApp Facebook 网页>诈骗信息显示其他应该是WhatsApp 的用户>网页重定向到伪造的星巴克营销网页>假冒 Facebook 版 WhatsApp 网页

举例来说，2012 年 8 月在 Facebook 上流传的伪造的 WhatsApp 应用程序。注6这个攻击会将受害者重定向到到一个假冒的
WhatsApp Facebook 网页，并要求授权给应用程序。一旦用户开放权限，网页会出现其他应该是WhatsApp应用程序的用户，并重新重定向用户协议网页。就跟山寨版Instagram 和 AngryBirds Space 等应用一样，这威胁似乎是针对手机用户的。

另一个相关的威胁，我们也看到有伪装成 WhatsApp Messenger 访问用户好友联系数据的攻击。这类诈骗攻击最终会将自身散播给受害者的朋友。

员工们不一定要浏览社交网站才会成为社交媒体攻击下的牺牲品。一个出现在2012 年 9 月的类似攻击，会诱骗垃圾邮件收件人访问伪造的 LinkedIn 邀请链接，将他们重定向到藏有黑洞漏洞攻击包的网站。注7黑洞漏洞攻击包被用在全世界的垃圾邮件攻击中，而且以可针对计算机上有弱点的程序来定制进行攻击而著称。

事实四

网络犯罪分子可以通过社交媒体收集企业及员工的敏感信息。

如前所述，越来越多员工会在工作时使用社交网站。而网络犯罪分子也会利用这个现象，就是企业会利用社交媒体跟客户还有潜在客户沟通。

只要简单地追踪公司和员工在社交网络上的习惯，网络犯罪分子就能够轻易地收集组织想要保持机密的信息。注8只要汇集 Twitter 上的推文、博客文章，以及粗心大意员工的状态更新，就可以整理出不经意流露出的公司机密，例如关键人物的身份，甚至财务状况和内部问题。

事实上，趋势科技的问卷调查显示，有 57% 的中小企业员工会在社交网络上透露公司问题。注9除非采取动作，不然公司员工可能会将机密数据泄漏给几乎任何人，包括网络犯罪份子，仅仅只是因为发布了一条状态更新而已。

事实五

工作时使用社交网络应加以规范，以保护你的企业免受攻击。

社交网络会让中小企业暴露出特定的弱点。因此必须采取特殊措施来确保关键业务数据不被外泄。中小企业无论大小，都必须制定在工作场所使用社交媒体的正式政策。

然而仅仅制定政策是不够的，还需要严格执行。员工们必须了解使用社交媒体的最佳作法，以及如果不当使用的可能后果。注10

必须制定清楚简洁的准则，没有丝毫疑问或错误的空间。请记住，就算只是在任何社交网站犯下小小的错误，都会让企业容易遭受攻击，也可能导致声誉受损。

你要如何保护你的业务？

社交网络如 Facebook、Twitter 和LinkedIn就在那里。想要保护好业务，你该做的就是让员工了解最佳作法和准则，以将社交媒体所带来的风险降到最低：

了解员工使用社交网络的状况。根据趋势科技的研究，55% 的中小企业员工认为浏览网络是没有限制的。注11利用针对中小企业的趋势科技 Worry-Free BusinessSecurity来管理员工的网络使用状况，可以防止员工浏览不恰当的网站和下载恶意文件。同时还可以监控员工在每天特定时刻的网络使用状况。

为员工提供易于遵循的准则。不管是不是允许在工作时间使用社交网络，员工都需要知道关于公司的哪些消息是可以发布的，以及谁可以发布什么样的消息。在建立公司的社交媒体准则时，请注意以下几点：

保持道德准则，提醒员工他们是由公司雇用或付薪水的。
提醒客户只能通过电子邮件或私信功能分享个人信息。让他们知道，如果有关于泄漏机密信息的相关问题时，可以到哪得到帮助。
明智地参与社交网络。只发布适合广泛传播，符合业务目标的信息。同时也提醒员工不要在网络上分享过多个人信息。
提醒员工不要点击陌生人分享的可疑链接。
定义什么是机密。在你的信息安全策略里，机密商业信息的保密协议必须要涵盖社交网站，例如Facebook、LinkedIn、Twitter 等。

⊙原文来源：

http://www.trendmicro.com/cloud-content/us/pdfs/business/tlp-likes-links-and-lessons-learned.pdf

⊙批注：

1. http://www.smb-gr.com/wp-content/uploads/2012/pdfs/2012_Impact_of_Social_Business_Study_Marketing_Overview.pdf
2. http://www.comscore.com/Insights/Presentations_and_Whitepapers/2012/Social_Networking_Key_Trends_in_France_and_Worldwide_in_2012
3. http://www.brandchannel.com/images/papers/534_comscore_wp_social_media_report_1212.pdf
4. http://www.salary.com/wasting-time-at-work-2012/slide/3/
5. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-survey-2012.pdf
6. http://blog.trendmicro.com/trendlabs-security-intelligence/scam-disguised-as-whatsapp-for-facebook/
7. http://about-threats.trendmicro.com/us/spam/398/blackholeexploit kit spam run using linkedin

8. http://about-threats.trendmicro.com/us/webattack/75/spamscams and other social media threats

9. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-survey-2012.pdf
10. http://about-threats.trendmicro.com/ebooks/socialmedia-101/#/1/
本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！