11 月的最後一個星期五被稱為「黑色星期五」(Black Friday),代表美國感恩節週末以及全球性的大型網上購物盛會已經開始,但它也是網路詐騙者和網路釣魚攻擊蠢蠢欲動的最佳時機。不過,當人們上網瀏覽和共用資訊,尤其是使用外部或公司的電腦購物時,是否應該擔心所面臨的風險?

 為了找出問題的答案,Sophos 首席研究科學家 Chester Wisniewski 決定研究當今網際網路安全的狀態。他將研究發現寫成一系列三篇文章,並在今年的黑色星期五時期公布。這些文章已經發表在 Sophos News 上,包括: 

  • 不要害怕 Wi-Fi ─ 在這一篇探討公共 Wi-Fi 安全的文章中,Wisniewski 釐清什麼是事實與什麼是想像,並發現大多數人都比他們想像的要安全得多。例如,攻擊者除了必須實際出現在目標的身邊,還得判斷哪些網站容易受到降級攻擊,以便透過未加密的網站重新導向流量,或是賭運氣看能否找到只有 5% 的未加密網站 (其中大部分是廣告追蹤程式和行銷垃圾郵件)。Wisniewski 還為更謹慎的使用者提供了一些替代方案和指導。

  • 密碼管理程式可以使網路更安全 (但要注意漏洞) ─ 在本文中,Wisniewski 對 8 個密碼管理程式進行了測試。他分別扮演網路釣魚的「受害者」和潛在的「攻擊者」,查看這些密碼管理程式在面對未加密的網站和使用假憑證的網站時,是否會拒絕自動填入資料和/或提出警告。

  • 2021 年全球資訊網 (WWW) 安全現況 ─ 隨著越來越多網路使用者在將個人或財務資料送出到瀏覽器之前,會先檢查對方是否為 HTTPS 網站,Wisniewski 決定仔細深入研究 HTTP 強制安全傳輸 (HSTS),了解有多少網站具備健全的加密和安全,以及加密被普遍採用的情況。Wisniewski 發現,雖然只有 5% 的網站尚未加密,但 61% 的已加密網站仍可能被「降級」,這會讓使用者暴露在何種程度的風險之中? 

Sophos 首席研究科學家 Chester Wisniewski 表示: 「近年來,全球在改善網際網路安全方面取得了巨大進步。我們強化了安全性基準,並在背後改變了實作對加密的方式,以確保通訊能保持私密性。我們還增強了密碼管理程式,幫助使用者在面對未加密的網站、使用假憑證的網站或顯然是網路釣魚的網站時能保護自己免受傷害。結合以上發展,攻擊者不太可能經由公用 Wi-Fi 鎖定使用者。畢竟,這種攻擊只能在受害者附近發動,而不是從摩爾多瓦透過 Tor 匿名進行犯罪,且投資回報很低,因為最有價值的網站都已經被加密了,所以犯罪分子為什麼要還投入時間和精力攻擊? 

「但風險依然存在,我們還有很長的路要走。在太多數情況下,保持安全的大部分責任仍然在使用者。當然,網際網路使用者必須始終依照常識判斷和謹慎行事,尤其是在使用未知的網路或瀏覽不受信任的網站時,還需要小心偽裝成快遞公司或類似企業的網路釣魚電子郵件。但是網路廠商、技術和服務提供商以及網路安全行業還是必須了解並縮小仍然存在的安全漏洞——尤其是那些使用者自己無法輕易看到的漏洞——因為如果我們現在不解決它們,當網路攻擊者找到新方法來鎖定和利用它們或新出現的弱點時,我們就會遠遠落後。」 

其他資源 

隨時和 Sophos 連線:TwitterLinkedInFacebookSpiceworksYouTube

熱門新聞

Advertisement