6、僵尸网络
去年年底,安全专家披露了Twitter帐号被用作指挥和控制某些僵尸网络的非法渠道。一般的指挥和控制渠道是IRC(Internet Relay Chat),但有些人会使用其他一些应用程序——P2P文件共享来实现。后来Twitter关闭了这些被用来指挥控制僵尸网络的帐号,但也给受感染主机访问Twitter的提供了便利。
7、高级持续性威胁
高级持续性威胁(Advanced Persistent Threat,APT)是黑客入侵系统的一种新方法。它是一种高级的、狡猾的伎俩,高级黑客可以利用 APT入侵网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。这意味着用户所面临的攻击和威胁将是长期的、持续的,因此对于机构而言必须时刻保持“战备”状态,这是十分必要的。这是一场不会结束的战争。APT极其狡猾、隐匿,这预示着机构很可能在几个月内持续遭受入侵,却浑然不知。
8、跨站请求伪造
它并不是一种具体的威胁形式,看起来更像是传播社交网络蠕虫的伎俩。CSRF(Cross-site request forgery跨站请求伪造)利用骗取社交网络程序的方式来攻击已登录用户的浏览器。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack),攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。使用图片的CSRF攻击常常出现在网络论坛中,因为那里允许用户发布图片而不能使用JavaScript。
9、身份伪造
身份伪造(Impersonation):指攻击者伪装自己成为一个授权用户以获得未授权访问。身份伪造属于破坏保密性的威胁。大部分身份伪造的人不会散播恶意程序,不过也不排除小部分受攻击帐号会被用作此类用途。
10、信任
几乎大部分威胁的共同之处都在于获得了用户对社交网络应用程序的充分信任。比如电子邮件,当它成为主流或者无处不在的即时信息时,人们都会相信这些来自“朋友”所提及的网站链接、图片、视频和可执行文件的合法性。