行動用戶很可能會比一般電腦使用者遭網路釣魚(Phishing)攻擊高出三倍

手機可以用來做任何事情,而且效能就跟一般電腦一樣強大~病毒也是 如此

 作者:Jonathan Leopando

使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備,並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣,所有該有的功能都有。

在上個月,喬治亞理工學院研究發現,因為使用者介面的關係,行動瀏覽器所提供的資訊往往並不足以讓使用者判斷網站是否有潛在的危險。

其中最有問題的是在顯示SSL資訊方面。和一般電腦相比,行動瀏覽器在顯示網站是否在使用SSL時非常受限。雖然會有基本鎖頭符號來表示是否正在使用SSL,但其他進階資訊則可能無法立即顯示。比方說,桌面瀏覽器會強調憑證單位好讓使用者進一步的驗證,但這在行動瀏覽器上並非總是立即出現。

 行動用戶很可能會比一般電腦使用者更容易遭網路釣魚(Phishing攻擊

 原因很簡單:使用者界面限制。行動設備上的空間和一般電腦相較起來是有限得多。而且行動使用者介面也往往會設計得特別簡潔。這會限制使用者可以在瀏覽器得到用來判斷網站是真是假的資訊數量 。

這或許也可以解釋為什麼有研究顯示行動用戶很可能會比一般電腦使用者更容易成為網路釣魚(Phishing)攻擊的犧牲者。然而,並不只是技術上的原因,使用者的態度可能才是主因。

  CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄),網路釣魚郵件送出後,行動用戶通常是第一個連上的
CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄),網路釣魚郵件送出後,行動用戶通常是第一個連上的網站的設備

 

根據這篇報導指出在一月,Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄)。記錄顯示有多少使用者連上這些惡意網站,他們是什麼時候連上的,他們是否輸入自己的帳戶登錄資料,以及用來連上網站的設備。

以下是Trusteer的發現:

一、網路釣魚郵件送出後,行動用戶通常是第一個連上的。

「這是有道理的,因為行動用戶總是保持在連線狀態,也最有可能在郵件送達時於第一時間閱讀。桌上電腦使用者只有在使用電腦時才會看信。」Trusteer的執行長Mickey Boodaei如此說。

「此外,多數詐騙電子郵件都要求立即採取行動。比方說,他們通常會聲稱在使用者帳號偵測到可疑活動,並且需要立刻採取行動。多數落入陷阱的受害者會很快地去連上釣魚網站。」

這很重要,因為網路服務供應商和主機代管廠商會監視他們網路上的釣魚活動,並快速採取行動以封鎖網路釣魚網站。

網路安全專家警告說:網路釣魚郵件攻擊裡最陰險的一種就是,假警告郵件可能會說該公司要通知你關於最近所公佈的一起安全攻擊事件 – 這恰恰也是他們所犯下的「完美掩護。」

二、行動用戶輸入登錄資料的機率比桌面電腦使用者高出三倍以上。

好消息是,大多數人(不管是不是行動用戶)連上釣魚網站時都不會輸入任何登錄資料。但是,對於那些有輸入的族群來說,行動用戶顯然更容易落入網路釣魚(Phishing)的陷阱。

三、iPhone使用者連上釣魚網站的數量是黑莓機使用者的八倍以上。

根據ComScore的最新數據顯示,在美國市場,黑莓機仍然有比iPhone更多的機子正在使用中。根據Boodaei,「在黑莓機和iPhone上都一樣很難注意到網路釣魚(Phishing)。」

那麼是什麼造成這差距呢?Boodaei推測,許多黑莓機使用者是企業用戶,是由雇主所配發黑莓機,所以至少都有經過一些安全訓練。相反地,絕大部分的iPhone都屬於消費者的行動設備。

行動瀏覽器可以用來做任何事情,而且效能就跟一般電腦一樣強大

使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備,並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣,所有該有的功能都有。行動瀏覽器可以跟桌面瀏覽器一樣執行進階的腳本。就如同趨勢科技的產品經理 – Warren Tsai在四月的亞太研討會中所指出:「行動瀏覽器可以用來做任何事情,而且效能就跟一般電腦一樣強大」。

在大多數情況下,這是一件好事。這可能讓更多更有用的網站出現以服務行動用戶。然而,任何能力都可能被濫用。因此,我們有個很糟的組合,強大的瀏覽器加上過於信任的使用者。這兩者相加就等於麻煩的出現,就如同之前所提到的研究結果。

公平地說,行動網路的潛在問題尚未成為嚴重的問題是有原因的。對於像網路銀行的複雜交易而言,繁瑣的身份驗證方式讓許多人還是偏好使用一般電腦。即使是喜歡在這些用途上使用行動設備的使用者,通常也會選擇使用應用程式而非行動瀏覽器。

而攻擊者也很大程度的忽略行動網頁,原因很簡單,它跟桌面網頁比起來還是非常小的一塊。目前的瀏覽器使用統計數據證實了這點,在十一月裡,有87%的流量來自桌面瀏覽器。

使用者應該怎麼做?最重要的是要有安全意識。是的,你所用的行動設備時還是有危險的。應該這麼做:不要打開可疑的電子郵件,不要點入可疑連結,如果有可疑就不要碰它。(特定用途的應用程式也不是解決之道,David Sancho在幾個月前研究過,發現有些應用程式也是不大安全。)

行動瀏覽器的安全性有許多不足之處,但它還不是個嚴重的問題。然而,出現越多這樣的漏洞,也就越有可能會被攻擊 – 最後也會為行動用戶造成另一個嚴重的安全問題。

@原文出處:Mobile Browser Security: Problem Exists Between Device and Chair

延伸閱讀

 十大行動釣魚詐騙:PayPal 奪冠有;75%偽裝成知名銀行金融單位
《小三與情人們的手機間諜戰》追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次,趨勢科技呼籲行動裝置安全不可輕忽!

避開 Android權限機制:您應該知道的事

◎即刻加入趨勢科技社群網站,精彩不漏網