Разработването на новото защитено криптиране на Hypertext Transfer Protocol Secure на Facebook е завършено. (Елинор Милс описа тази функция в публикация на блога си InSecurity Complex миналата седмица.) Докато криптирането е добре дошло допълнение към социалната мрежа, то е далеч от панацея за сигурност във Facebook.

За да активирате кодирането във Facebook, кликнете върху Акаунт в горния десен ъгъл и изберете Настройки на профила. Изберете Промяна до Защита на профила, за да видите текущите настройки. Поставете отметка на опцията под Security Browsing (https). Можете също да поставите отметка в „Изпратете ми имейл“ в „Когато нов компютър или мобилно устройство влезе в този профил“, за да бъдете уведомени за възможен неоторизиран достъп до профила ви.

Чудесно е, че Facebook предприема стъпки за защита на своите клиенти от измамници и крадци на идентификационни номера, но има само толкова, че компанията или която и да е уеб услуга могат да направят това, за да осуетят доставчиците на сноупи и злонамерен софтуер. В случая с Facebook слабата връзка може да са игри и други приложения, които остават некриптирани.

По-рано тази седмица изследователят на Sophos по въпросите на сигурността Graham Cluley написа в блога си Naked Security за дефект във Facebook, открит от двама студенти. Според Cluley, зловредният софтуер може да имитира приложение, на което е дадено разрешение за достъп до данните ви и да публикува на стената ви, за да стартира фишинг атаки и да разпространява вируси и троянски коне.

Първоначално изследователят не е успял да дублира метода на атаката, защото неговите настройки за сигурност на Facebook са "доста твърди", но понижаването на настройките му позволява да получи достъп до неговата сметка чрез приложението за измама.

През август 2009 г. описах как да променя настройките за защита по подразбиране на Facebook, за да направи услугата по-безопасна. Опциите за поверителност са се променили донякъде оттогава, но стъпките за укрепване на сигурността във Facebook са почти същите. Собствената страница на Facebook за контролиране на начина на споделяне отива по-подробно за опциите за сигурност на услугата.

Cluley съобщава, че студентите уведомяват служителите на Facebook за сигурността на недостатъка и той е бил поправен. Но както сочи изследователят на Sophos, сложна система като Facebook е сигурно, че ще съдържа и други недостатъци, някои от които могат да бъдат използвани от лоши момчета.

Потребители на Facebook, насочени към измамниците

Както може би очаквате, успехът на Facebook го превръща в любима цел на интернет измамниците. Производителят на сигурността Panda Security наскоро съобщи за две нови атаки за злонамерени програми, които се опитват да заблудят потребителите на Facebook в отварянето на фалшив прикачен файл към електронната поща и съответно да кликнат върху връзка в незабавно съобщение.

Електронната поща предупреждава потребителите, че техният Facebook акаунт се използва за изпращане на спам и тяхната парола е променена. Те са инструктирани да отворят прикачения файл на съобщението, който включва иконата на Microsoft Word, за да намерят новата си парола и след това да влезете и да промените паролата. Прикачения файл отваря Word, за да накара потребителите да мислят, че е легитимна, но също така отваря всички портове на системата и се свързва с пощенски услуги в опит да изпрати спам, според изследователите на PandaLabs.

Връзката в фалшивия IM изтегля червей, който поема Facebook акаунта на лицето и ги блокира, показвайки съобщение, когато се опитват да влязат, заявявайки, че сметката е била спряна. За да активирате отново сметката, съобщението им дава указания да попълнят въпросник и дори да обещават награди за това.

Въпросникът дори иска номера на мобилния телефон на лицето да получава "кредити за изтегляне на данни" и нова парола, която да се използва за повторно активиране на сметката. Това нарушава няколко от основните правила за безопасно изчисление:

• Не кликвайте връзки в имейли или съобщения, дори ако смятате, че имате доверие на подателя. Измамниците може да са компрометирали сметката на лицето за използване в техните престъпни схеми.

• Не отваряйте прикачени файлове към имейли, които не очаквате, без предварително да ги проверите с изпращача.

• Не давайте лична информация на който и да е сайт, на който не вярвате и който не използва криптиране. Потърсете "https:" в началото на URL адреса и иконата за заключване в близост до адреса в горната част на екрана или в лентата на състоянието в долната част на екрана, в зависимост от браузъра ви.

Със сигурност ще има нови, хитри опити да накараш Facebook потребителите да дадат крадци и да отварят достъп до техните сметки. Защитата срещу тях е отговорност на всеки потребител на Facebook. Започва със знанието, че лошите са там и ни чакат да се откажем от охраната.