1. 程式人生 > >網路釣魚:在移動裝置上太容易了

網路釣魚:在移動裝置上太容易了

 

想象一個沒有移動裝置的世界。我們只需要回想幾十年就能想出一個形象; 但在2018年,世界幾乎是不可想象的。儘管從工作場所到家庭各地的移動裝置已經飽和,但它們仍然容易受到缺乏安全性的影響。網路犯罪分子很快就會利用這種缺乏關懷的方式。網站和應用程式已針對移動裝置進行了優化,但移動裝置很容易受到攻擊,因為它們提供了新的攻擊方式。

以網路釣魚為例。手機上的網路釣魚很難用肉眼觀察。網路釣魚(Phishing,源自Phone + Fishing;又名網釣法或網路網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如使用者名稱、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。這些通訊都聲稱(自己)來自於風行的社群網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、網際網路服務提供者、公司機關),只需輕輕一擊即可危及移動裝置以此來誘騙受害人的輕信。

儘管使用強式加密的SSL伺服器認證,要偵測網站是否彷冒實際上仍是很困難。網釣是一種利用社會工程技術來愚弄使用者的例項。它憑恃的是現行網路安全技術的低親和度。種種對抗日漸增多網釣桉例的嘗試涵蓋立法層面、使用者培訓層面、宣傳層面、與技術保全措施層面。

它常常導引使用者到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。或者它可能是一封電子郵件,看起來像是來自人力資源部門的Greg,但旨在誘騙您的員工放棄他們的憑據。單個錯誤的點選可使攻擊者更接近您的資料。它也可能是惡意URL,也可能是連線到惡意廣告網路的看似無辜的應用程式。更嚴重的是,在移動裝置上預覽連結以檢視它是否合法是很困難的。在臺式機或膝上型電腦上,您通常將滑鼠懸停在連結上,但移動使用者沒有那麼奢侈。

Lookout Personal在2011年至2016年期間分析了6700萬臺移動裝置。如果發現有56%的使用者收到並竊聽了一個繞過其手機現有網路釣魚防禦功能的網路釣魚URL。在這56%的人中,人們每年平均使用六個網路釣魚URL。

網路釣魚嘗試的數量也在增加 - 據Lookout稱,自2011年以來,網路釣魚網址平均每年增長85%。“我們已經看到高達87%的網路釣魚網站流量來自移動裝置,”Lookout說。這對使用者和裝置來說是個壞訊息,但對於試圖解除安裝惡意軟體,竊取個人資訊或索要贖金的網路犯罪分子來說,這是一個好訊息。這是一個主要問題,但僱主和使用者仍未採取足夠措施來防範網路釣魚攻擊。移動裝置連線在傳統防火牆之外,通常缺少端點安全解決方案,並且可以訪問桌面上未使用的大量新訊息傳遞平臺。此外,移動使用者介面沒有使用者識別網路釣魚攻擊所需的詳細資訊,例如懸停在超連結上以顯示目的地。為了保護資料不受損害,現在除了SMS,訊息傳遞平臺,公司和個人電子郵件之外,現在還必須防止員工竊聽隱藏在應用程式內的惡意URL。為了確保企業資料在細微的移動世界中可以保持安全,企業應該檢測來自任何來源的網路釣魚嘗試,包括電子郵件,社交媒體和應用,而且應該要求IT管理員設定防止網路釣魚嘗試的策略,阻止嘗試連線到網路級別的URL,而不是檢查郵件內容。這可確保員工的隱私保持安全 - 這一點非常重要,因為需要保護使用者在社交和訊息傳遞平臺上的通訊。