Facebook HTTPS: vals gevoel van veiligheid?

De uitrol van Facebook's nieuwe Hypertext Transfer Protocol Veilige codering is ongeveer voltooid. (Elinor Mills beschreef de functie vorige week in een bericht op haar InSecurity Complex-blog.) Hoewel encryptie een welkome toevoeging is aan het sociale netwerk, is het verre van een beveiligingsoplossingen voor Facebook.

Als u codering in Facebook wilt inschakelen, klikt u op Account in de rechterbovenhoek en kiest u Accountinstellingen. Selecteer Wijzigen naast Accountbeveiliging om uw huidige instellingen te bekijken. Vink de optie onder Beveiligingsbladeren (https) aan. U kunt ook "Stuur mij een e-mail" onder "Wanneer een nieuwe computer of mobiel apparaat zich aanmeldt bij dit account" aanvinken om gewaarschuwd te worden voor mogelijke ongeautoriseerde toegang tot uw account.

Het is geweldig dat Facebook stappen onderneemt om zijn klanten te beschermen tegen oplichters en ID-dieven, maar er is alleen zo veel dat een bedrijf of een webservice kan doen om snuffels en malwarefabrikanten te dwarsbomen. In het geval van Facebook kan de zwakke link bestaan ​​uit games en andere applicaties die niet-versleuteld zijn.

Eerder deze week schreef Sophos security-onderzoeker Graham Cluley in zijn Naked Security-blog over een smet op Facebook ontdekt door twee studenten. Volgens Cluley kan malware een app imiteren die toestemming heeft gekregen om toegang tot uw gegevens te krijgen en deze aan uw muur te publiceren om phishing-aanvallen te starten en virussen en Trojaanse paarden te verspreiden.

De onderzoeker was aanvankelijk niet in staat om de aanvalsmethode te dupliceren omdat zijn Facebook-beveiligingsinstellingen "behoorlijk rigide" waren, maar door de instellingen te verlagen, kon hij via de zwendel-app toegang krijgen tot zijn account.

In augustus 2009 heb ik beschreven hoe je de standaard Facebook-beveiligingsinstellingen kunt wijzigen om de service veiliger te maken. De privacy-opties zijn sinds die tijd enigszins veranderd, maar de stappen voor het versterken van je Facebook-beveiliging zijn ongeveer hetzelfde. De eigen pagina Controlling How You Share van Facebook gaat dieper in op de beveiligingsopties van de service.

Cluley meldt dat de studenten de beveiligingsfunctionarissen van Facebook op de hoogte hebben gebracht van de fout en dat deze is gepatcht. Maar zoals de Sophos-onderzoeker opmerkt, zal een complex systeem zoals Facebook zeker andere fouten bevatten, waarvan sommige kunnen worden uitgebuit door slechteriken.

Facebook-gebruikers gericht door phishers

Zoals je zou verwachten, heeft het succes van Facebook het tot een favoriet doelwit van internet-oplichters gemaakt. Beveiligingsleverancier Panda Security heeft onlangs melding gemaakt van twee nieuwe malwareaanvallen die proberen Facebook-gebruikers te misleiden tot het openen van een valse e-mailbijlage en respectievelijk op een koppeling in een chatbericht klikken.

De e-mail waarschuwt gebruikers dat hun Facebook-account wordt gebruikt voor het verzenden van spam en dat hun wachtwoord is gewijzigd. Ze krijgen de opdracht om de bijlage van het bericht, inclusief een Microsoft Word-pictogram, te openen om hun nieuwe wachtwoord te vinden en vervolgens in te loggen en het wachtwoord te wijzigen. De bijlage opent Word om gebruikers te laten denken dat het legitiem is, maar opent ook alle poorten van hun systeem en maakt verbinding met e-maildiensten in een poging spam te verzenden, volgens onderzoekers van PandaLabs.

De link in de nep-IM downloadt een worm die het Facebook-account van de persoon overneemt en vergrendelt en een bericht weergeeft wanneer ze proberen aan te melden dat het account is opgeschort. Om het account opnieuw te activeren, geeft het bericht de opdracht om een ​​vragenlijst in te vullen en worden zelfs prijzen beloofd.

De vragenlijst vraagt ​​zelfs om het mobiele telefoonnummer van de persoon om "datadownloadcredits" te ontvangen en een nieuw wachtwoord dat moet worden gebruikt om het account opnieuw te activeren. Dit breekt een aantal van de belangrijkste regels van veilig computergebruik:

• Klik niet op koppelingen in e-mails of chatberichten, zelfs als u denkt dat u de afzender vertrouwt. Phishers hebben mogelijk het account van de persoon gecompromitteerd voor gebruik in hun snode plannen.

• Open geen e-mailbijlagen die u niet verwacht, zonder ze van tevoren te verifiëren bij de afzender.

• Geef geen persoonlijke informatie vrij aan een site die u niet vertrouwt en die geen codering gebruikt. Zoek naar 'https:' aan het begin van de URL en het vergrendelingspictogram, in de buurt van het adres boven aan het scherm of in de statusbalk onder aan het scherm, afhankelijk van uw browser.

Er zullen zeker nieuwe, slimmere pogingen zijn om Facebook-gebruikers te misleiden om dieven en snoops toegang te geven tot hun accounts. Bescherming tegen hen is de verantwoordelijkheid van elke Facebook-gebruiker. Het begint met te weten dat de slechteriken daar wachten tot we onze waakzaamheid laten varen.

 

Laat Een Reactie Achter