不要轻易成为别人的 “好友”

在社交网络上，不要轻易成为别人的 “好友”。

来自巴西的安全专家 Nelson Novaes Neto 最近在 “银弹” 安全大会上向大家展示了如何利用多种社交工具，在 24 小时内成为其他 Facebook 用户的朋友。

Novaes 以另外一个网络安全专家为目标，他把目标称之为 “SecGirl”。他首先在 Facebook 上注册了一个假账户，“克隆” 了目标的身份信息，然后他通过这个克隆账号向目标的朋友——一共有 432 个好友（一级朋友圈）发送好友请求。在一个小时内，有 24 个人选择了接受，让人感到吃惊的是，这些人中有 96% 已经拥有目标的联系人信息，但他们依然接受了克隆账户的好友请求。

然后 Novaes 向目标的 436 个朋友的朋友（二级朋友圈）发起好友请求——这些好友依据目标在 LinkedIn 上的关系发起——在一个小时内，有 14 个人通过了好友请求。在这个实验发起后的第七个小时，目标人物 SecGirl 通过了克隆账号的好友请求

这场实验让人看到社交网络那脆弱的安全性。Facebook 为了保证个人账户的安全，用户修改密码是需要通过三个值得信任好友的验证的，但是 Novaes 的实验证明：获得三个信任的好友其实不难。黑客通过这种方式，可以修改目标人物的账户邮箱以及密码，继而通过自己拥有的账户对他人发起社会工程学攻击。社会工程学攻击是一种通过对受害者心理弱点，本能反应，好奇心，信任，贪婪等心理陷阱进行分析并且推理然后达到欺骗的目的的方式。

在接受巴西的 UOL Noticias 的采访中，Novaes 说：“人们轻易的忽略了在不经检查账户的真实性就添加其他账户时所带来的威胁。社交网络可以很奇妙，但人们犯了个错。个人隐私本质上是一种社会责任。”

至于 Facebook 方面的反应，Ars Technica 收到 Facebook 一名发言人的电子邮件，声称 Novaes 这种方式违犯了公司的政策。该发言人在邮件中指出，Facebook 鼓励用户举报这种使用假名字的账户。而当 Facebook 收到这种举报，他们就会利用系统来判定该账户是否可疑。而该账户的拥有人下次登陆时会看见一条警告信息，然后需要通过一些认证程序，才能顺利登陆自己账户，包括输入认证用的电话号码，而如果该账户一段时间没有反应，那么系统会自动关闭它。发言人还指出，“值得信任的好友” 系统推荐最近成为朋友的人作为恢复密码的人选可能性很低。

Facebook 的申辩并不能掩盖 Novaes 实验成功的事实。

从这件事我们可以看出，尽管 Facebook 的安全机制已经十分严格，但若用户自己不当心，依然很容易就与一个黑客成为朋友，正如 Novaes 所说，人们对安全性问题不够重视，才是他那场实验成功的原因。