公司產品營銷經理在某職業社交網站貼了張照片，結果照片背景中的一張便利貼上居然寫著他的網絡登錄口令?；蛟S肉眼難以看清，但AI（人工智能）算法可以。利用AI算法，黑客可以掃描公開渠道可得的圖像，確定有沒有網絡口令，然后用這些口令來進行數據竊取。

對安全專家而言，這不是什么高精尖的科學。事實上，AI程序比搜索引擎還容易使用。“AI能識別圖像中的物體和照片上的環境，猜測圖片內容描述和對象可能的年紀、性別、表情等等。而且這些工具還會隨著掃描圖像的增多而更加強大，不斷學習，更加精確。”

對員工來說，臉書、推特、領英、微博這類網站可能很容易被歸類為無害的，但對黑客而言，這些網站就是可行性情報寶庫。

終端安全公司Avecto高級安全工程師詹姆斯·茂德，揭示了社交媒體黑客的另一個惱人發展。黑客現在可以掃描推特饋送以找出雇員品味和偏好的相關信息。如果上文提及的那個產品營銷經理成天曬他的新 iPhone 7，黑客就能做一封看起來像是 iPhone 7 產品聲明的釣魚詐騙郵件。有這么明晃晃的釣餌擺在那兒，騙局想不成功都難。

社交媒體和個人電郵的精準定位，繞過了很多電子郵件掃描和URL過濾之類的網絡防御措施。最危險的方面之一，是攻擊者用聘書或非法內容玩弄受害者，引導受害者向其公司安全團隊報告安全事件。

當然，部分問題在于社交媒體就是個巨大的攻擊界面——有史以來最大的。Facebook擁有17.9億用戶。推特用戶數3.17億。商業環境下很難找出不使用社交媒體的人。就像飛蛾撲火，黑客知道他們能找到貼出高度敏感數據的輕信受害者。

黑得容易？

社交媒體黑客也依賴老舊技術——IT自動化公司UpGuard共同創始人麥克·鮑克斯如是說。因為Facebook之類的網站被很多用戶認為是“消費級”的，雇員很少考慮到安全性，所以他們懶得使用雙因子身份驗證。而且，有可能不安全的無數第三方App往往也能獲得雇員的授權。

這就讓黑客太容易得手了，尤其是在用戶忘了自己都給哪些站點授權發布信息和連接到其他服務的情況下。黑客可能闖不進某個推特賬戶，但若哪個不太安全的門戶站點存了你的身份驗證數據，事情就方便多了。

另一個攻擊例子太常見了，可能很多員工身上已經發生過了。黑客使用從雇員社交媒體上挖下來的照片來發送釣魚信息。因為你看到的是自己的照片，很自然地就會點擊。安全賬戶管理公司Thycotic全球策略聯盟主管約瑟夫·卡爾森稱，點擊這些郵件會將用戶引導至某個網站，讓他們授權對登錄憑證的訪問(通常是通過虛假“口令重置”花招)。

該做什么？

大多數頂級社交媒體服務，比如推特和Facebook，提供雙因子身份驗證。所以，雇員應該被教導該怎樣啟用這些功能。然后，必須提醒雇員超級小心交出憑證給任何第三方站點。共享登錄就是安全噩夢。

理解被黑社交媒體數據是怎么被利用的也很重要。自拍照掃描案例中，敵人可能將抽取出的地理位置和性別等數據用于廣告目的。雇員需要理解社交媒體會泄露公司的數據寶藏，被黑客用于惡意目的。

用戶應被告知怎樣監測自己社交媒體活動的異常改變。比如說，如果你平時使用Facebook且從不退出登錄，那么突然毫無理由地彈出讓你登錄的框框就有可能是被黑的跡象——用戶應報告這些改變。

Tweetdeck或HootSuite這種第三方網站也是關注重點。雇員往往在主社交媒體站點使用了強口令，卻對這些儀表盤使用了弱口令，這是不對的。于是，另一個最佳實踐就是：決不接受陌生人的加好友請求。Facebook估算，至少2%的用戶賬戶是假的。推特報告稱，至少5%的用戶賬戶為虛假賬戶。

將社交媒體視為開放黑客門戶是一大誘惑，這里面還有幾分合理性。釣魚者、黑客、裝腔作勢者都在爬取這些站點。他們能提供真切的商業價值，不會在短時間內消失。所有專家都認同：培訓是關鍵。用戶應該知道淪為社交媒體黑客的受害者是多么容易。