Facebook HTTPS: Falsk känsla av säkerhet?

Utbyggnaden av Facebook: s nya Hypertext Transfer Protocol Secure-kryptering är nästan färdig. (Elinor Mills beskrev funktionen i ett inlägg på sin InSecurity Complex-blogg förra veckan.) Kryptering är ett välkommet tillägg till det sociala nätverket, det ligger långt ifrån ett Facebook-säkerhetspanacea.

För att aktivera kryptering i Facebook klickar du på Konto i det övre högra hörnet och väljer Kontoinställningar. Välj Ändra bredvid Kontosäkerhet för att visa dina aktuella inställningar. Markera alternativet under Säkerhetssökning (https). Du kanske också vill kolla "Skicka mig ett mail" under "När en ny dator eller mobilenhet loggar in i det här kontot" för att bli varnad för eventuell obehörig åtkomst till ditt konto.

Det är fantastiskt att Facebook vidtar åtgärder för att skydda sina kunder mot bedragare och ID-tjuvar, men det finns bara så mycket att företaget eller någon webbtjänst kan göra för att förhindra snoops och malware-leverantörer. I Facebook: s fall kan den svaga länken vara spel och andra program som fortfarande inte är krypterade.

Tidigare i veckan skrev Sophos säkerhetsforskare Graham Cluley i sin Naken Säkerhetsblogga om en Facebook-fel som upptäckts av två studenter. Enligt Cluley kan malware efterlikna en app som har fått tillstånd att komma åt dina data och publicera till din vägg för att starta phishing-attacker och sprida virus och trojaner.

Forskaren kunde ursprungligen inte duplicera angreppsmetoden eftersom hans Facebook-säkerhetsinställningar var "ganska styva", men genom att sänka inställningarna fick han tillgång till sitt konto via bluff-appen.

I augusti 2009 beskrev jag hur du ändrar standard Facebook säkerhetsinställningar för att göra tjänsten säkrare. Sekretessalternativen har ändrats något sedan den tiden, men stegen för att stärka din Facebook-säkerhet är ungefär lika. Facebooks egen kontrollerar hur du delar sidan går i större detalj om tjänstens säkerhetsalternativ.

Cluley rapporterar att eleverna anmälde fackets säkerhetsansvariga från facket och det har blivit patchat. Men som Sophosforskaren påpekar, kommer ett komplext system som Facebook säkert att innehålla andra brister, av vilka några kan utnyttjas av skurkar.

Facebook-användare riktade mot phishers

Som du kan förvänta dig, har Facebook framgång gjort det till ett favoritmål för internetbedrägerier. Säkerhetsleverantör Panda Security rapporterade nyligen om två nya malwareattacker som försöker lura Facebook-användare att öppna en falsk e-postbilaga och klicka på en länk i ett direktmeddelande.

E-postmeddelandet varnar användarna om att deras Facebook-konto används för att skicka spam och deras lösenord har ändrats. De instrueras att öppna meddelandets bilaga, som innehåller en Microsoft Word-ikon, för att hitta sitt nya lösenord och sedan logga in och ändra lösenordet. Bilagan öppnar Word för att få användarna att tro att det är legitimt, men det öppnar också alla systemets portar och ansluter till posttjänster i ett försök att skicka spam, enligt PandaLabs forskare.

Länken i den falska IM laddar ner en mask som tar över personens Facebook-konto och låser dem ut och visar ett meddelande när de försöker logga in med angivande av att kontot har avbrutits. För att återaktivera kontot instruerar meddelandet dem att fylla i ett frågeformulär och till och med lovar priser för att göra det.

Frågeformuläret begär även att personens mobilnummer ska få "data download credits" och ett nytt lösenord som ska användas för att återaktivera kontot. Detta bryter flera av kardinalreglerna för säker databehandling:

• Klicka inte på länkar i e-post eller IM, även om du tror att du litar på avsändaren. Phishers kan ha äventyrat personens konto för användning i sina falska system.

• Öppna inte e-postbilagor som du inte förväntar dig utan att verifiera dem med avsändaren i förväg.

• Frivillig inte personlig information till någon webbplats du inte litar på och det använder inte kryptering. Leta efter "https:" i början av webbadressen och låsikonen, antingen nära adressen högst upp på skärmen eller i statusfältet längst ned på skärmen, beroende på din webbläsare.

Det kommer säkert att finnas nya, smidigare försök att lura Facebook-användare för att ge tjuvar och snoops tillgång till sina konton. Att skydda mot dem är varje Facebook-användares ansvar. Det börjar med att veta att de dåliga killarna är ute och väntar på att vi släpper vakt.

 

Lämna Din Kommentar