社交媒体和网络欺骗会玷污你的品牌和市值。
上个月,在本专栏中,我写到了企业需要如何“锁定系统的前门”,以防止网络钓鱼攻击,并采取多层方法重新思考员工、合作伙伴和客户的身份。
当我们敲鼓已经有一段时间了,一个新的恶棍抬头了。最近几周,我们看到了一些明显的例子,说明由于Twitter的新所有权和政策造成的混乱,不良行为者对公司的财务生存能力和产品声誉造成了损害。
社交媒体安全已成为不仅CISO,而且CMO、CFO和CEO的首要任务。因此,我们可以期待它在恶意软件攻击、安全漏洞和身份验证骗局中扮演更重要的角色。
Twitter验证问题
你可能已经读到了制药公司礼来公司(Eli Lilly and Co.)的“经验证”推特账户,该账户分享了一条推文,宣布“我们很高兴宣布胰岛素现在是免费的。”
哇!真正的礼来公司在推特上宣布了吗?嗯,没有。事实上,发推特的账户是一个冒名顶替的账户。但推特粉丝、投资者、媒体和其他人立即上当受骗。他们认为这家制药公司是在屈从用户的要求,降低胰岛素价格。
当真正的礼来公司(Eli Lilly&Co.)得知这条假推特后,它在其官方账号上回应道:“我们向那些收到假礼来账户误导信息的人道歉。我们的官方推特账号是@LillyPad。”
被不适当的系统所迷惑
为什么这条推特愚弄了这么多人?据《华盛顿邮报》报道,这条推文带有一个蓝色的“已验证”复选标记。这一标志确保了一个品牌的推特账户是合法的,根据推特验证系统已经存在多年。
但由于最近几周Twitter所有权易主埃隆·马斯克,旧的验证系统已被弃用,取而代之的是名为Twitter Blue的新验证系统。在马斯克试图招揽新的收入来源时,用户每月支付8美元的费用,就可以获得已验证的分数。
但真实身份验证并不是优先事项。Twitter没有检查谁每月为新的复选标记支付了8美元。这意味着任何人都可以购买“已验证”的复选标记。
这就是礼来推特品牌和其他品牌受到攻击的原因。骗子通过支付每月8美元的支票费,为政客、体育运动员、名人和其他公司创建了“假认证”账户。不幸的是,有缺陷的身份验证系统已经造成了大问题,《连线》在其文章《埃隆·马斯克的推特是骗子的天堂》中写道
由于暂时的混乱,礼来的股价受到了影响,从368美元/股跌至348美元/每股(尽管此后有所回升)。但这条假推文也引起了人们对该公司高胰岛素价格的关注,给礼来带来了更严重的公关问题。
黑帽子推特演员/恶作剧者发现了身份欺诈的大开方便之门,并开始将经验证的标记计划滥用于邪恶目的。这一推特对身份的“攻击”将网络钓鱼和身份验证的严重性推向了主流。
我们这些安全和情报行业的人多年来一直在谈论不良行为者网络钓鱼,但现在它已经成为一个更大的问题。公司是否会采取更有力的措施来建立更高的身份验证安全性,尤其是在社交媒体中?
加强社交媒体上的身份认同
可能还会有更多此类袭击发生。随着Twitter及其用户方向的不确定性,不良行为者可能会感觉到对另一个主要品牌造成类似伤害。关于产品定价的虚假信息只是冰山一角。其他欺诈信息或骗局可能会引发行动号召,让客户甚至员工受骗分享他们的凭证,从而进入组织的大门。
既然我们已经看到了品牌是多么容易被攻击,那么似乎不可避免的是,更多的此类攻击将成为常态。如果推特蓝色验证计划组织不严密,未来几周其他主要实体会发生什么?除了推特蓝之外,假货还可以在其他社交媒体网站上进行,并通过建立与品牌拥有的原创外观和感觉相同的假冒网站。如何利用这些资源?Twitter Blue问题使得任何基本攻击者都可以轻松地进行恶搞,但任何具有更高复杂度的黑客都可以利用更复杂的方法。品牌和公司如何最好地保护所有这些渠道?
据称,Twitter团队正在进行重组,以使其“坚如磐石”,并计划在11月底重新推出Twitter Blue,但CISO需要在攻击者伤害你的品牌、移动你的股价,甚至找到窃取你组织数据的途径之前,设置防欺诈措施。
这些保障措施应扩展到社交媒体平台和网络。尽管媒体关注,但这不仅仅是一个Twitter问题。推特已经成为头条新闻,但对这个行业来说,这是一个更广泛的问题。
- 登录 发表评论