七大移动安全威胁

2021-06-01 06:30张元
计算机与网络 2021年6期
关键词:加密应用程序钓鱼

张元

移动安全如今已经成为组织担忧的首要问题,几乎所有员工都定期从智能手机访问组织的数据,由于持续蔓延的新型冠状病毒疫情,这一趋势变得更加突出。实际上现在与组织数据进行交互的绝大多数设备都是移动设备。根据安全服务商Zimperium的调查,这一比例约为60 %,随着人们逐渐适应远程工作,这一数字势必会继续攀升。

所有这一切都意味着组织需要更加关注保护敏感信息,这是一个日益复杂的难题。可以说,现在这方面面临的风险比以往任何时候都要高。根据波洛蒙研究所在2020年发布的一份调查报告,组织的每次数据泄露的平均成本高达386万美元。这比三年前估计的平均成本高出6.4 %,由于员工在家远程工作带来了额外的挑战,预计将使这种损失进一步上升。

虽然人们很容易将注意力集中在引起轰动的恶意软件攻击事件上,但事实上,在现实世界中移动设备恶意软件的攻击事件并不常见,其被攻击的几率远远低于被闪电击中的几率。Verizon公司发布的一份2020年数据泄露调查报告指出,恶意软件是移动设备数据泄露事件中最不常见的原因之一,这是由于移动操作系统中内置的有效的保护措施。

更加现实的移动安全隐患在于一些经常被忽视的领域,这些领域面临的威胁将在未来变得更加紧迫。

社交工程

在疫情的影响下,社交软件的钓鱼攻击比以往任何时候都更令人不安,在移动设备方面尤其如此。据Zimperium公司的调查,自从新型冠状病毒疫情发生以来,钓鱼攻击增加了6倍,移动设备现在成为主要目标,特别是与疫情相关的网络攻击呈上升趋势。

Zimperium公司安全研究副总裁Nico Chiaraviglio表示:“欺诈者知道人们在家远程工作,在移动设备上花费更多的时间,且并没有采取与计算机相同的预防措施。从网络攻击者的角度来看,这是一种很好的机会。”

这种行为将影响组织的运营。安全服务商FireEye公司的一份调查报告表明,91 %的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意软件攻击”,因为它们依赖于模仿等措施,诱使人们在设备上点击危险链接或提供敏感信息。该公司表示,过去几年,网络钓鱼的发展迅速,移动用户更多有可能因此而受骗,因为许多移动电子邮件客户端只显示发件人的名字,这让人们容易认为电子邮件来自他们认识或信任的人。

而且,尽管人们认为可以轻松避免社交工程弊端,但在移动领域仍然具有惊人的效果。根据IBM公司的一项研究,用户在移动设备上遭遇网络钓鱼的可能性是电脑的3倍,其中的一个原因是手机是人们最有可能首先看到消息的地方。Verizon公司的调查支持这一结论,并补充说,智能手机上的屏幕尺寸较小,显示的信息也比较有限(特别是在消息通知中,通常包括打开链接或响应消息的一个点击选项)也会增加钓鱼成功的可能性。

除此之外,点击按钮在移动电子邮件客户端中的显著位置,以及工作人员倾向于使用智能手机完成多任务的方式,将会加大欺骗效果。大多数网络流量都在移动设备上发生,这一事实将进一步鼓励网络攻击者针对这一领域进行攻击。

根据Verizon公司的最新调查,虽然只有大约3.4 %的用户点击了与网络钓鱼相关的链接,但这些人往往是重复犯错者。该公司指出,点击网络钓鱼活动链接的次数越多,将来再次点击的可能性就越大。Verizon公司之前发布的一份调查报告表明,在被成功钓鱼的用户中,15 %的用户会在一年内至少再遭受一次网络钓鱼攻击。

PhishMe公司信息安全和反网络钓鱼策略师John Robinson说:“我们确实看到移动计算的整体增长和BYOD工作环境的持续增长,推动了移动设备欺诈事件的普遍提高。”

Robinson指出,工作與个人计算之间的界线也在继续模糊,越来越多的员工正在智能手机上查看多个收件箱,这些收件箱通常连接了工作帐户和个人帐户,并且几乎每个人都在工作日在线进行某种形式的个人业务。因此,除了接收工作相关的消息以外,还接收个人电子邮件的做法并不罕见。

因此这种风险只会不断增加。如今,网络欺诈者甚至还在利用网络钓鱼来诱骗人们放弃旨在保护帐户免遭未经授权访问的双因素身份验证代码。采用基于硬件的身份验证(通过专用的物理安全密钥,例如谷歌公司的Titan或Yubico公司的YubiKeys或通过Google的设备上的安全密钥选项),被广泛认为是提高安全性、降低网络钓鱼几率的最有效方法。

根据谷歌公司、纽约大学和加州大学圣地亚哥分校联合进行的一项研究,设备的身份验证可以防止99 %的大规模网络钓鱼攻击和90 %的针对性攻击。

除此之外,采用针对移动设备的网络钓鱼检测软件,是阻止员工成为网络钓鱼受害者的最明智的方法。Zimperium公司的Chiaraviglio说:“员工是网络安全中最薄弱的环节。”

数据泄漏

数据泄漏被普遍认为是2021年组织安全最令人担忧的威胁之一,也是成本最高昂的威胁之一。根据IBM公司和波洛蒙研究的最新调查,完全基于远程工作的组织在数据泄露方面的平均损失将增加13.7万美元。

这个问题特别令人烦恼的是,从本质上讲发生这些事件通常不是恶意目的,这可能是用户无意中决定哪些应用程序能够查看和传输其信息的问题。

Gartner公司移动安全研究主管Dionisio Zumerle说:“主要的挑战是如何实施应用程序审核过程,而不会使管理员不知所措,也不会使用户感到沮丧。”他建议使用移动威胁防御(MTD)解决方案,例如Symantec公司的Endpoint Protection Mobile、CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之类的产品。Zumerle表示,这样的实用程序会扫描应用程序中的“泄漏行为”,并可自动阻止有问题的进程。

即使这样也不会总是覆盖由于用户错误而发生的泄漏,这就像将组织文件传输到公共云存储服务、将机密信息粘贴到错误的地方或将电子邮件转发给意外的收件人等。对于这种类型的泄漏,数据丢失预防工具可能是最有效的保护形式。这种软件的设计,可以防止在意外情况下泄露敏感信息。

WiFi干扰

移动设备仅与通过其传输数据的网络一样安全。在网络时代,人们不断连接到可能无法获得最佳安全保护的网络(无论是为远程工作人员配置的家庭网络,还是为公共WiFi网络配置的网络),人们的信息通常都没有他们想象的那样得到安全保护。

这到底有多重要?根据Wandera公司的调查,在2020年,组织员工的移动设备使用WiFi的次数几乎是使用运营商流量数据的3倍。将近25 %的设备连接到开放且可能不安全的WiFi网络,并且有4 %的移动设备平均在1个月内遭受中间人攻击,由于疫情期间旅行减少和业务减少,这一数字在过去一年中有所下降,但这并不意味着威胁已经消失,即使员工大部分时间在家工作。

Wandera公司产品副总裁Michael Covington说:“建议组织采用更主动的方法来确保远程连接的安全,而不是依靠中间人攻击的检测软件来做出反应。组织为确保WiFi安全性,需要采取的措施是,为远程工作采用零信任网络接入模式。”

过时的设备

智能手机、平板电脑和小型互联设备给组织安全带来了风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新,这一点在安卓技术领域尤为明显。在安卓技术领域,绝大多数制造商在保持产品更新(无论是操作系统更新还是每月的安全补丁)以及物联网设备(其中许多设备甚至都没有获取更新的设计)方面效率低下,这有些令人尴尬。

专门研究智能手机安全问题的美国锡拉丘兹大学计算机科学教授Kevin Du说:“现在许多手机没有内置补丁机制,而这正成为当今越来越大的威胁。”

根据Wandera公司的调查,2020年,大约28 %的组织仍采用过时的操作系统以及具有已知安全漏洞的软件。Covington说:“尽管确实存在允许远程工作人员使用更多非托管设备的趋势,但目前的情况似乎让人们注意到了当安全态势变得过于宽松时所遇到的真正風险。”

Wandera公司的调查表明,更让人担心的是,自新型从冠状病毒疫情爆发以来,在工作时间内与“不当内容”的连接增加了100 %。而且,这类网站由于会诱使访问者下载可疑内容而臭名昭著。而过时的操作系统使得任何形式的不当内容更加危险,因为其可能没有适当的保护措施。

波洛蒙公司的调查表明,除了网络攻击可能性增加之外,移动平台的广泛使用提高了数据泄露的总体成本,大量与工作相关的物联网产品只会导致这一数字攀升。正如网络安全服务商Raytheon公司所言,物联网是一扇敞开的大门。Raytheon公司赞助的一项研究表明,82 %的IT专业人士预测,不安全的物联网设备会在他们的组织内造成数据泄露,其后果很可能是灾难性的。

但是,采取强有力的安全政策可能会走很长一段路。某些Android设备确实提供及时可靠的持续更新,并且采取措施来提高手机的安全性。直到物联网领域更加安全之前,提高安全性都取决于组织自己创建的安全网络。

密码策略不佳

如今,很多用户仍然没有妥善保护其帐户的安全,当他们携带包含组织帐户和个人登录信息的手机时,可能会面临密码安全问题。

谷歌公司和Harris Poll公司联合进行的一项调查发现,一半以上的美国人在多个帐户中使用同一个密码。同样令人担忧的是,将近1/3的人没有使用双因素身份验证。只有1/4的人正在积极使用密码管理器,这表明绝大多数人在很多地方都没有设置强大的密码,因为方便自己设置和记住密码。

事情只会变得更复杂,根据LastPass公司进行的一项分析,一半的专业人士承认在工作和个人账户上使用了相同的密码。调查发现,每名员工通常与其同事共享大约6个密码。

Verizon公司在2017年的调查发现,80 %以上的黑客违规行为都要归咎于密码安全性不足或密码被盗,尤其是在移动设备上。这是因为员工希望快速登录应用程序、网站和服务。而即使只有一名员工在零售网站、聊天应用程序或消息论坛上的提示中,草率地输入了公司账户的密码,也将给组织的关键数据带来风险。现在把这个风险和WiFi干扰风险结合起来,再乘以工作场所的员工总数,可以表明潜在的泄露点将会大幅增加。

也许更令人烦恼的是,大多数人似乎并不知道他们在这方面的疏忽。在谷歌公司和Harris Poll公司进行的调查中,69%的受访者在有效保护自己的在线账户方面给了自已一个A或B的评分,在调查表明并非如此,显然,不能相信用户自己进行的风险评估。

移动设备的广告欺诈

根据eMarketer公司的最新预测,即使受到疫情影响而导致组织的支出减少,在移动设备发布广告也会产生大量收入。全球移动设备2021年的广告收入可能会达到1 170亿美元。网络犯罪分子更加关注这一领域,因此,他们找到从移动广告收入流中获利的方法,研究机构瞻博公司预计,到2023年,全球移动设备广告收入会由于网络攻击的影响,每年可能损失1 000亿美元。

广告欺诈可以采取多种形式,但最常见的是使用恶意软件生成点击广告,这些点击似乎是来自合法应用程序或网站的真正用户。例如,用户可以下载一个应用程序,该应用程序提供有效的外观服务,如天气预报或消息传递。然而,该应用程序会在出现的常规广告上产生欺诈性点击。广告商通常是通过他们所产生的广告点击次数来支付费用,因此移动广告欺诈窃取了这些公司的广告收入。

尽管广告商和发行商可能是最主要的受害者,但广告欺诈也可能损害移动设备用户。广告欺诈恶意软件在他们的手机后台运行,可能会降低智能手机的性能、耗尽电池电量,导致更高的数据费用,并导致手机过热。根据安全供应商Upstream公司的调查,智能手机用户(或为其设备付费的公司)每年因移动广告恶意软件会产生更高的数据费用。

Wandera公司表示,到目前为止,Android是需要解决这些问题的主要平台,Android設备安装具有漏洞应用程序的可能性比iOS系统的手机高出5.3倍。但这并不意味着影响是不可避免的。

与移动设备安全领域中的许多事情一样,获得安全性常识还有很长的路要走。除了维护仅允许用户从官方应用程序商店下载应用程序的策略之外,组织需要教育员工学习一些安全基础知识,例如查看应用程序的评论、所请求的权限和开发人员历史记录,以确保安装前有关该应用程序的信息都符合要求。从IT的角度来看,监视数据使用情况是否出现异常高峰也可以帮助及早发现潜在问题。

加密劫持攻击

加密劫持是一种攻击,其中有人在所有者不知情的情况下使用其设备来挖掘加密货币。就像移动设备广告欺诈一样,网络攻击者使用他人的移动设备来加密采矿以获取利益。这意味着受影响的手机可能会遇到电池续航时间短的问题,甚至可能因组件过热而遭受损坏。

从2017年底到2018年初,加密劫持主要发生在台式电脑,但如今移动设备的加密劫持数量激增。根据Skybox Security公司的调查,加密货币挖矿占到2018年上半年所有攻击的1/3。根据Wandera公司的调查报告,特定于移动设备的加密劫持攻击在2017年秋季迅速增长,当时受影响的移动设备数量激增了287 %。

从那以后,这种情况有所缓解,尤其是在移动领域。这主要得益于苹果iOS应用商店和Android关联的谷歌游戏商店禁止安装加密货币挖掘应用程序。不过,安全厂商注意到,网络攻击继续通过移动网站(甚至只是移动网站上的流氓广告)和通过非官方第三方市场下载的应用程序取得某种程度的成功。

Verizon公司表示,与加密货币相关的网络攻击现在占组织中与恶意软件相关问题的2.5 %,其中约10 %的组织报告了相关的安全问题。Verizon推测,这种事件发生率实际更高,因为很多组织没有报告此类攻击。

因此,用户需要谨慎选择移动设备,坚持采用安全措施,并且只从官方平台下载应用程序,以有效应对加密劫持攻击。

物理设备的漏洞

最后一点是,物理设备的漏洞仍然是令人不安的现实威胁,丢失或无人看管的移动设备可能会成为主要的安全风险,尤其是如果它没有强大的PIN或密码以及完整数据加密的情况下。

在波洛蒙公司2016年进行的一次调查中,35 %的受访者表示他们的移动设备没有强制措施来保护可访问的组织数据。更糟糕的是,近一半的受访者表示,他们的移动设备没有设置密码、PIN或生物特征安全保护,约2/3的受访者表示他们没有使用加密措施。68 %的受访者表示,他们有时会在通过移动设备访问的个人和工作账户上共享密码。

而近年来通过采取一些安全措施,这种情况已有所改善。Wandera公司在其发布的2020年移动威胁态势分析报告中指出,仍有3 %的移动设备没有使用锁屏功能。

总之,对于移动设备的安全,只将安全责任交给用户是不够的,组织和个人需要遵循更加完善的安全政策和措施才能更好地保护移动设备的安全。

猜你喜欢
加密应用程序钓鱼
保护数据按需创建多种加密磁盘
删除Win10中自带的应用程序
谷歌禁止加密货币应用程序
加密与解密
钓鱼
第七章 去泥盆纪钓鱼
第七章 去泥盆纪钓鱼
第七章去泥盆纪钓鱼
三星电子将开设应用程序下载商店
微软软件商店开始接受应用程序