Съображения за сигурност за марки, използващи Twitter

Имаше много разговори за социални медии и проблеми със сигурността, от социално инженерство към наивността на потребителите. Особено много се говори за Twitter и проблеми със сигурността, особено в случай на отвличанията на акаунти от миналата седмица. Голяма част от този разговор се фокусира върху това как хората могат по-добре да се осигурят. Какво ще кажете за марките? И повече от това, как марките да поемат по-добра отговорност за сигурността на социалните медии, за да защитят своите потребители? Защото харесват или не, част от тежестта е върху тях. Ето два примера.

URL пренасочванеВ миналото съм писал за това какви са някои социални мрежи по-добра работа с пренасочване на URL адреси от други, но URL пренасочването все още е съображение за сигурност. Както потребителските, така и бизнес потребителите са постоянно принуждавани или от нашите ИТ отдели, или от приятели, запознати със сигурността, никога да не кликват върху ненадеждни или неразпознати URL адреси. И все пак го правим. Дори масата

Сигурност Twits Известно е, че използването на Twitter минимизира URL адресите на техните блогове или друга интересна информация, която трябва да споделят. Моята компания дори се обадиха по него за популяризиране на публикация в блог за злонамерени уеб адреси с помощта на пренасочен URL адрес. Проблемът тук? През повечето време URL пренасочването се извършва против нашата воля.

Twitter има политика (която се прилага чрез TweetDeck и други приложения на Twitter на трети страни), че без значение колко знака има на разположение на потребителя, ако URL е по-голям от 40 знака, услугата автоматично ще го превърне в TinyURL.

Марките имат избор, разбира се. Те могат да изберат да не публикуват URL адреси чрез Twitter. Или могат да се опитат да контролират дължината на своя първоначално публикуван URL (направих това с a блог пост миналата седмица), но това не е много добро за SEO. Нито пък марките могат да контролират артикулите, които искат да рекламират от медиите и други сайтове на трети страни. Те могат също така да насърчат потребителите, които използват Firefox, да стартират мазни маймунски скриптове които позволяват пренасочени визуализации на URL адреси, но това е трудно да се направи. Ако направят избора да използват пренасочени URL адреси в Twitter, те трябва да имат предвид, че изискват голямо доверие от своите клиенти. И ако по някаква причина акаунтът им бъде компрометиран и бъде публикуван злонамерен URL адрес, клиентите им може да не им се доверят да продължат напред. Те също трябва да са наясно с рисковете за сигурността:

„Негативната част на това „съкращаване“ идва от затъмняването на видимостта на текста на URL адреса, преди да бъде изпратен до вашия браузър – възможно е вектор за инжектиране за директни експлойти на URL адреси на браузъра, от които има много разновидности, и начин да ги изпратите на хора, без URL адресът да бъде проверен или видими. Или може би просто начин да изпращате хора към неясни домейни с по-лоши хоствани документи“, каза той Драгош Рую, организатор на CanSecWest конференция по сигурността.

Друга опция, която марките също имат, е вместо да разчитат на Twitter за автоматично съкращаване на URL адресите до TinyURL, използвайте Bit.ly вместо. това е леко по-сигурен, тъй като Bit.ly е един от малкото редиректори, които гледат Googleбаза данни за злонамерен софтуер преди съкращаване. Но трябва ли Twitter да се отърве от тази функция на първо място и да позволи на марките да решат дали даден URL адрес да бъде разширен или не?

„Моето усещане е, че Twitter трябва да позволи на потребителите да изключат тази „функция“, ако желаят, включително всички автоматични URL адреси“, каза Ruiu.

Следва: Twishing и мониторинг на марката -->

Twishing и мониторинг на марката Какво общо има едното с другото? Много. Видяхме примери за "twishing" или "Twitter phishing" още през януари, когато фалшиви известия за „директни съобщения“ излязоха на някои потребители и ги насочиха към фалшив URL адрес от типа на Twitter и откраднаха потребителски идентификационни данни. Това беше първият път, когато този вид измама се случи в толкова широк мащаб и разтърси хората. Въпреки това, като експерт по сигурността Деймън Кортези написа в a публикация за гости, която той е автор за този блог, това е само върхът на айсберга.

Как това се отнася за марките? Защото разпространителите на спам разбраха за популярността на Twitter и непрекъснато измислят нови и креативни начини да го използват. Примерен случай, консултант по сигурността Майк Мъри ми препрати следния имейл онзи ден. Това е първият път, когато някой от нас е виждал спамър да насочва потребители към законна емисия в Twitter:

Въпреки че замъглих конкретната емисия, тя насочи потребителите към жива, дишаща емисия в Twitter. За щастие Twitter бързо деактивира този профил, заявявайки, че е спрян поради „странна дейност“, но поради тази причина няма начин да знаем със сигурност какво тип измами наистина бяха включени в емисията, въпреки че си представям, че тя е свързана извън сайта към фишинг URL адрес, който изисква лични данни за хора, които искат да „управляват своите дълг."

Знам, как това се отнася за марките? Остани с мен. Има огромен списък от марки в Twitter -- дори някои във финансовия сектор. Какво ще стане, ако например разпространител на спам се опита да спечели доверието на потребителите, като същевременно насочи потребителите към злонамерен URL адрес включително законна емисия в Twitter за проверка (т.е. потребителят проверява емисия в Twitter за марка и тя е законен; след това щрака до уеб сайт за измама). Или какво ще стане, ако измамник реши да се възползва от URL адрес на Twitter на законна марка и да създаде измамен издънка (т.е. twitter.com/Bank of America = twitter.com/|3ank of America), както традиционно се прави в спам имейли?

Twitter е доста добър в бързото откриване и елиминиране на тези типове акаунти въз основа на подозрителна дейност, но инфраструктурата не е настроена по такъв начин, че да може проактивно да наблюдава за тези специални случаи на "брандджак". Това е до марката. Със спам имейлите марките имат малък контрол върху това, което се изпраща. Те могат да поискат от потребителите като цяло да докладват за нарушители и да въведат мерки за сигурност на собствените си сайтове. Но с паркирани сайтове – Twitter, Facebook, FriendFeedи т.н. -- има повече шансове за марките да наблюдават как могат да бъдат използвани. С измамниците и спамерите, които стават все по-умни със социалните мрежи, мениджърите на марки и общности трябва да направят същото. Ако управлявате марка, която вече е била широко омразена от спамърите, уверете се, че търсите в социалните мрежи тези варианти на името на вашата марка или имена на продукти. Ако смятате, че може да сте изложени на риск от подобни измами, измислете свои собствени творчески варианти и ги проследете.

Въпреки че непосредствената опасност тук и в двата случая – пренасочване на URL адреси и изкривяване – не е непременно за марките. Това е за техните клиенти и техните потребители. И в тази епоха на „доверие“, „прозрачност“, „достъпност“ и други нашумели думи е още по-важно брандовете да управляват тяхното присъствие и вариации на и имат структура за отчитане като част от своите политики за социални медии за справяне със сигурността въпроси. След като нарушите това доверие на клиентите - по невнимание или не - е почти невъзможно да го върнете.

Разбира се, част от отговорността е на Twitter и други социални мрежи, тъй като реактивните мерки за сигурност не са най-добрите мерки. В разговор по тази тема вчера, един от моите колеги, Гийом Лове, старши мениджър на Фортинет'с FortiGuard Global Security Research Team, обобщи добре тази мисъл (разкриване: Fortinet е моят работодател).

„Фишинг операцията не изисква „дългосрочен“ план за кражба на марката (трябва да е акаунт в Twitter или DNS домейн), така че предизвикателството не е толкова да затворите тези акаунти при получаване на оплаквания, а по-скоро да предотвратите създаването им от самото начало," Ловет каза.

Ако се сблъскате с други сблъсъци със сигурност/бранд, уведомете ме чрез формуляра по-долу или в TalkBacks.