危险无处不在 聊天也有见安全问题

　　即时通讯病毒正在高速增长，很可能会在不远的将来发展到和电子邮件病毒一样严重的地步。要控制这种局势，首先需要即时通讯厂商充分重视即时通讯软件的安全问题，对其产品进行更严格的安全设计。同时，安全领域的供应商也应该积极行动，以更快的速度应对即时通讯安全事件，并研发出能够更好与即时通讯系统集成的防护产品，例如嵌入到即时通讯软件中并且可以保持更新的防病毒组件。

　　利用IM破坏防御系统

　　类似防火墙这样常见的安全防御设备，很多时候会因为即时通讯工具的存在而被突破，这类情况对企业用户的损害尤其严重。大多数即时通信软件都允许用户选择使用的端口，或者能够自动尝试可以进行通信的端口，甚至利用某些机制绕过防火墙。在这种情况下防火墙就失去了其应有的保护作用，并且这些穿越防火墙的通讯很可能会被攻击者利用以突破防火墙，对防火墙所保护的网络和计算机造成破坏。

　　在企业环境中，即时通讯的应用总是个两难问题。在充分的应用即时通讯为企业提高效率和限制员工使用即时通讯工具中间做出选择，往往导致两种极端的结果，即对即时通讯放任自流和完全禁止企业的即时通讯应用。也许更适合的手段是找到一种折衷的方案，例如我们可以在防御系统中过滤文件传输，而不要整个将即时通讯划为非法应用。

　　对IM发起拒绝服务攻击

　　拒绝服务攻击特别是分布式拒绝服务攻击可以说是互联网先天性安全能力不足的一个例证。即时通讯服务商本身就面临着拒绝服务攻击的威胁。由于即时通讯服务商提供的用户服务能力通常要小于总用户数，所以在相对满载的时候，攻击者较易实施拒绝服务攻击。通过发送通过发送畸形的或者模拟的数据包到即时通讯服务器，可以大量消耗服务器的资源，造成服务瘫痪。

　　另外，即时通讯客户端软件也存在很多可能引发拒绝服务攻击的漏洞，使安装了即时通讯软件的机器遭受拒绝服务攻击。客户端的一个隐忧是用户现在通常是为了功能对即时通讯客户端进行升级，而很少象针对操作系统的安全问题那样及时更新补丁。这使得存在即时通讯漏洞的计算机数量相当可观，当然这和厂商的推广方式有很大的关联。

　　IM的网络钓钩

　　继利用电子邮件和网站等方式开展网络钓鱼之后，以即时通讯作为诱骗手段的网络钓鱼行为正越来越多的被诈骗者们实施。比较常见的手法是利用即时通讯发送消息将用户导向陷阱以及冒充即时通讯供应商开展某种活动骗取用户的敏感信息等等。例如雅虎就曾经证实其即时通讯工具雅虎通的用户曾经接收到类似的诱骗信息，将用户导向诈骗者的网站;而国内也曾发现过很多以赠送Q币为名获取QQ密码和传播恶意代码的网站。