2015年8月11日星期二
作者:
Eric Kuan, 站长关系专家;Yuan Niu, 网站分析师
网上诱骗
您可能比较熟悉网上诱骗,这是最常见的社交工程形式之一。网上诱骗网站和电子邮件会通过假冒合法网站,诱骗您将自己的用户名和密码等机密信息输入到这些网站中。
Google 近期的一项调查
显示,某些
网上诱骗网站对
受害者的诱骗成功率可能会高达
45
%!
一旦某个网上诱骗网站获得了您的信息,该网站的所有者就会出售这些信息或利用其来操纵您的帐户。
其他形式的社交工程
作为网站所有者,您需要警惕的社交工程形式绝不止网上诱骗这一种。
另一种形式的社交工程来自您网站上使用的软件和工具。如果您下载或使用任何
内容管理系统
(CMS) 或
插件
,请务必确保它们的
来源声誉良好
,比如直接来自开发者的网站。来自声誉不佳的网站的软件可能会包含允许黑客访问您网站的恶意漏洞。
例如,
Brandon’s Pet Palace 最近聘请了网站站长 Wanda 来帮助其创建一个网站。在设计完一些草图后,Wanda 开始编制构建该网站所需的软件。但她发现,她最喜爱的插件之一 - Photo Frame Beautifier - 已从官方 CMS
插件网站
下架,而且相应开发者已决定停止为该插件提供支持。她快速进行了搜索,找到了一个提供旧插件归档版本的网站。她从这个网站下载了该插件并使用它完成了网站创建。两个月后,Search Console 中的一条通知告诉 Wanda,她客户的网站
被黑客攻击了。她赶紧设法修复了被黑内容并找到了该网站遭到入侵的根源。原来是 Photo Frame Beautifier 插件遭到了第三方篡改,导致其允许恶意对象访问该网站。
她移除了这款插件,修复了被黑内容
,加强了网站安全防护以免日后遭到攻击,
并在 Search Console 中提交了重新审核请求。您可以看到,在本示例中,是 Wanda 的
疏忽大意
致使她客户的网站遭到入侵。
保护自己免受社交工程的攻击
社交工程之所以容易得逞,是因为您在执行操作时出现的错误并不明显。不过,您可通过确保以下几点基本事项,来保护自己免受社交工程的侵扰:
- 保持警惕 : 每当您在线输入机密信息或安装网站软件时,请务必谨慎小心。请仔细检查网址 ,确保您不是在恶意网站上输入机密信息。 安装网站软件时,请务必确保软件的来源已知且声誉良好(如开发者网站)。
-
- 使用双重身份验证 : 双重身份验证(如 Google 的 两步验证 )可为您的帐户增加一道额外的安全保障,即使您的密码被盗,您的帐户也能安全无虞。您应尽可能对所有帐户使用双重身份验证。我们将在下周详细介绍双重身份验证的好处。
有关社交工程的更多资源: