الاعتبارات الأمنية للعلامات التجارية التي تستخدم تويتر

  • Aug 30, 2023

هناك الكثير من الأحاديث حول أمان تويتر. ولكن ما هي المسؤولية التي تقع على عاتق العلامات التجارية لاتخاذ قرارات أفضل لحماية مستخدميها؟ كثيراً.

كان هناك الكثير من الأحاديث حول وسائل التواصل الاجتماعي وقضايا الأمن هندسة اجتماعية إلى سذاجة المستخدمين. لقد كان هناك الكثير من الحديث عنه بشكل خاص تويتر والقضايا الأمنية، وخاصة في حالة عمليات اختطاف الحسابات الأسبوع الماضي. لقد ركز الكثير من هذا الحديث على كيفية قيام الأفراد بتأمين أنفسهم بشكل أفضل. ماذا عن العلامات التجارية؟ والأكثر من ذلك، كيف يمكن للعلامات التجارية أن تتحمل مسؤولية أفضل في مجال أمن وسائل التواصل الاجتماعي لحماية مستخدميها؟ لأنه شئنا أم أبينا، فإن بعض العبء يقع على عاتقهم. هنا مثالان.

إعادة توجيه عنوان URLلقد كتبت في الماضي عن كيفية عمل بعض الشبكات الاجتماعية معالجة إعادة توجيه URL بشكل أفضل من غيرها، ولكن إعادة توجيه عنوان URL لا يزال أحد الاعتبارات الأمنية. يتعرض كل من المستخدمين من المستهلكين والشركات باستمرار إما من قبل أقسام تكنولوجيا المعلومات لدينا أو من الأصدقاء ذوي الخبرة الأمنية إلى عدم النقر مطلقًا على عناوين URL غير الموثوق بها أو غير المعروفة. ومع ذلك ما زلنا نفعل ذلك. حتى الكتلة

الحمقى الأمن من المعروف أن استخدام Twitter يقلل من عناوين URL الخاصة بمدوناتهم أو غيرها من المعلومات المثيرة للاهتمام التي يحتاجون إلى مشاركتها. شركتي حتى تم استدعاؤه عليه للترويج لمنشور مدونة حول عناوين الويب الضارة باستخدام عنوان URL مُعاد توجيهه. المشكلة هنا؟ في معظم الأحيان، تتم إعادة توجيه عنوان URL ضد إرادتنا.

تويتر لديه سياسة (والتي يتم فرضها من خلال تويتديك وتطبيقات تويتر الأخرى التابعة لجهات خارجية) أنه بغض النظر عن عدد الأحرف المتاحة للمستخدم، إذا كان عنوان URL أكبر من 40 حرفًا، فستحوله الخدمة تلقائيًا إلى TinyURL.

العلامات التجارية لديها خيار، بطبيعة الحال. يمكنهم اختيار عدم نشر عناوين URL عبر Twitter. أو يمكنهم محاولة التحكم في طول عنوان URL المنشور أصلاً (لقد فعلت ذلك باستخدام ملف مشاركة مدونة الأسبوع الماضي) ولكن هذا ليس جيدًا تمامًا بالنسبة إلى تحسين محركات البحث. ولا يمكن للعلامات التجارية التحكم في العناصر التي ترغب في الترويج لها من الوسائط ومواقع الطرف الثالث الأخرى. يمكنهم أيضًا تشجيع المستخدمين الذين يستخدمون Firefox على التشغيل مخطوطات قرد الشحوم التي تسمح بمعاينات عناوين URL المُعاد توجيهها، ولكن من الصعب القيام بذلك. إذا قاموا باختيار استخدام عناوين URL المعاد توجيهها على تويتر، فيجب عليهم أن يأخذوا في الاعتبار أنهم يطلبون قدرًا كبيرًا من الثقة من عملائهم. وإذا تعرض حسابهم للاختراق لسبب ما وتم نشر عنوان URL ضار، فقد لا يثق عملاؤهم بهم للمضي قدمًا. كما يجب عليهم أيضًا أن يكونوا على دراية بالمخاطر الأمنية:

"يأتي الجزء السلبي من هذا "الاختصار" من حجب رؤية نص عنوان URL قبل إرساله إلى متصفحك - إنه أمر محتمل ناقل الحقن لاستغلال عناوين URL المباشرة للمتصفح، والتي يوجد منها الكثير من الأصناف، وطريقة لإرسالها إلى الأشخاص دون الحاجة إلى فحص عنوان URL أو مرئي. أو ربما مجرد وسيلة لإرسال الأشخاص إلى نطاقات غير واضحة تحتوي على مستندات مستضافة أسوأ". دراغوس رويو، منظم CanSecWest مؤتمر أمني.

هناك خيار آخر لدى العلامات التجارية أيضًا وهو بدلاً من الاعتماد على Twitter لتقصير عناوين URL تلقائيًا إلى TinyURL، استخدمه bit.ly بدلاً من. إنه طفيف أكثر أمانًا، نظرًا لأن Bit.ly هو أحد أدوات إعادة التوجيه القليلة التي تبحث عنها جوجلقاعدة بيانات البرامج الضارة قبل تقصيرها. ولكن هل يجب على تويتر التخلص من هذه الميزة في المقام الأول والسماح للعلامات التجارية بتحديد ما إذا كان عنوان URL ممتدًا أم لا؟

وقال رويو: "شعوري هو أن تويتر يجب أن يسمح للمستخدمين بإيقاف تشغيل هذه الميزة إذا رغبوا في ذلك، بما في ذلك جميع عمليات الربط التلقائي لعناوين URL".

التالي: الوخز ومراقبة العلامة التجارية -->

الوخز ومراقبة العلامة التجارية ماذا يجب ان يفعل مع الشخص الاخر؟ كثيراً. لقد رأينا أمثلة على ذلك "الوخز" أو "التصيد الاحتيالي على تويتر" مرة أخرى في يناير عندما تم إرسال إشعارات "الرسائل المباشرة" المزيفة إلى بعض المستخدمين وتوجيههم إلى عنوان URL مزيف من نوع Twitter وسرقت بيانات اعتماد المستخدمين. كانت هذه هي المرة الأولى التي يحدث فيها هذا النوع من الاحتيال على هذا النطاق الواسع، وقد هز الناس. ومع ذلك، كخبير أمني ديمون كورتيسي كتب في أ مشاركة ضيف قام بتأليفها لهذه المدونة، هذه ليست سوى غيض من فيض.

كيف ينطبق هذا على العلامات التجارية؟ لأن مرسلي البريد العشوائي قد اكتسبوا شعبية تويتر ويكتشفون باستمرار طرقًا جديدة ومبتكرة للاستفادة منها. مثال على ذلك، مستشار أمني مايك موراي أرسل لي البريد الإلكتروني التالي في ذلك اليوم. إنها المرة الأولى التي يرى فيها أي منا مرسلي البريد العشوائي يوجه المستخدمين إلى خلاصة Twitter شرعية:

تويترspam.jpg

على الرغم من أنني قمت بإخفاء الخلاصة المحددة، إلا أنها وجهت المستخدمين إلى خلاصة تويتر الحية والمتنفسة. لحسن الحظ، قام تويتر بتعطيل هذا الملف الشخصي بسرعة مشيرًا إلى أنه تم تعليقه بسبب "نشاط غريب" ولكن لهذا السبب ليس لدينا طريقة لمعرفة ما هو الأمر على وجه اليقين. تم بالفعل تضمين نوع من عمليات الاحتيال في الموجز، على الرغم من أنني أتخيل أنه مرتبط خارج الموقع بعنوان URL للتصيد الاحتيالي الذي يطلب تفاصيل شخصية للأشخاص الذين يريدون "إدارة حساباتهم" دَين."

أعرف كيف ينطبق هذا على العلامات التجارية؟ عصا معي. هناك قائمة ضخمة من العلامات التجارية على تويتر - حتى البعض في القطاع المالي. ماذا لو، على سبيل المثال، حاول أحد مرسلي البريد العشوائي كسب ثقة المستخدم من خلال توجيه المستخدمين إلى عنوان URL ضار أثناء ذلك أيضًا بما في ذلك خلاصة Twitter المشروعة للتحقق (أي يقوم المستخدم بفحص خلاصة Twitter بحثًا عن علامة تجارية وهو كذلك قانوني؛ ثم ينقر للوصول إلى موقع ويب احتيالي). أو، ماذا لو قرر أحد المحتالين التلاعب بعنوان URL لعلامة تجارية مشروعة على Twitter وإنشاء عنوان خادع off-shoot (أي twitter.com/Bank of America = twitter.com/|3ank of America) كما يتم تقليديًا في رسائل البريد الإلكتروني المزعج؟

لقد كان تويتر جيدًا جدًا في اكتشاف هذه الأنواع من الحسابات وإزالتها بسرعة بناءً على نشاط مشبوه، ولكن لم يتم إعداد البنية التحتية بطريقة تمكنها من مراقبة هذه الحالات الخاصة من "سرقة العلامات التجارية" بشكل استباقي. هذا متروك ل العلامة التجارية. مع رسائل البريد الإلكتروني العشوائية، لا تتمتع العلامات التجارية بقدر كبير من السيطرة على ما يتم إرساله. يمكنهم أن يطلبوا من المستخدمين عمومًا الإبلاغ عن المخالفين ووضع إجراءات أمنية على مواقعهم الخاصة. لكن مع المواقع المتوقفة -- تويتر، فيسبوك, فريندفيد، إلخ. - هناك فرص أكبر للعلامات التجارية لمراقبة كيفية استخدامها. مع تزايد مهارة المحتالين ومرسلي البريد العشوائي في التعامل مع الشبكات الاجتماعية، يتعين على مديري العلامات التجارية والمجتمع أن يفعلوا الشيء نفسه. إذا كنت تدير علامة تجارية تم بالفعل استغلالها على نطاق واسع من قبل مرسلي البريد العشوائي، فتأكد من إجراء عمليات بحث على الشبكات الاجتماعية عن هذه الأشكال المختلفة من اسم علامتك التجارية أو أسماء منتجاتك. إذا كنت تعتقد أنك قد تكون معرضًا لخطر عمليات الاحتيال هذه، فابتكر أشكالًا إبداعية مختلفة خاصة بك وتتبعها.

في حين أن الخطر الوشيك هنا في كلتا الحالتين - إعادة توجيه عنوان URL وتغييره - لا يتعلق بالضرورة بالعلامات التجارية. إنها لعملائهم ومستخدميهم. وفي عصر "الثقة" و"الشفافية" و"إمكانية الوصول" وغيرها من الكلمات الطنانة، أصبح من الأهمية بمكان أن تدير العلامات التجارية وجودها، واختلافاتها، ولها هيكل إعداد التقارير كجزء من سياسات وسائل التواصل الاجتماعي الخاصة بها للتعامل مع الأمن مشاكل. بمجرد انتهاك ثقة العميل تلك - عن غير قصد أو بغير قصد - فمن شبه المستحيل استعادتها.

بعض المسؤولية تقع على عاتق تويتر والشبكات الاجتماعية الأخرى، بطبيعة الحال، لأن التدابير الأمنية التفاعلية ليست أفضل التدابير. في محادثة حول هذا الموضوع بالأمس، قال أحد زملائي، غيوم لوفيت، المدير الأول لـ فورتينتفريق أبحاث الأمن العالمي FortiGuard، لخص هذا الفكر بشكل جيد (الكشف: Fortinet هو صاحب العمل الخاص بي).

"لا تتطلب عملية التصيد الاحتيالي خطة "طويلة الأمد" لسرقة العلامات التجارية (إذا كانت حساب Twitter أو مجال DNS) لذا فإن التحدي لا يكمن في إغلاق هذه الحسابات عند تلقي الشكاوى، بل في منع إنشائها من البداية". قال لوفيت.

إذا واجهت أي تعارضات أخرى تتعلق بالأمان/العلامة التجارية، فأخبرني بذلك عبر النموذج أدناه أو في TalkBacks.