APP下载

针对智能手机的钓鱼攻击与防范策略研究

2016-07-10王雪

电子技术与软件工程 2016年7期
关键词:防范策略钓鱼网络安全

随着近年来智能移动设备的快速发展,以手机为代表的智能移动设备成为人类不可或缺的重要工具。正是由于智能手机的广泛普及,针对智能手机的攻击方式也呈多样化趋势。多种不同的钓鱼攻击方式是研究的主要对象。钓鱼网站在页面中夹带病毒、木马程序、或者用虚假应用程序伪造成合法的应用供用户下载安装,达到窃取用户数据的目的。探讨了对不钓鱼攻击采用不同的防范策略,增强智能手机用户对钓鱼攻击的风险防范意识。

【关键词】钓鱼 网络安全 智能移动设备 窃取密码 防范策略

如今,智能手机在日常生活中正发挥着越来越重要的作用。智能手机同个人计算机一样可以进行网络互联与信息分享。然而,由于互联网在安全性方面有很大不足,在巨大利益的驱使下,促使攻击者对移动智能互联设备在数据交换过程中,有强烈的攻击动机。伴随互联网的日益流行趋势,网络的安全风险以指数级增加。存在诸多安全风险因素如,网络嗅探、劫持用户敏感数据和个人数据等。

钓鱼网站之所以能够成功获取用户数据,其主要原因在于:误导用户相信所访问网站是合法网站,或是合法网站的另外版本。因此,侦测并防范钓鱼网站的主要问题是认证用户与服务器之间的所建立的互信关系问题。解决互信问题最常见的传输层安全协议TLS(Transport Layer Security)是现代安全网站和电子交易的基础。不过TLS并不能够完全解决欺骗和钓鱼攻击,而且经常依赖于浏览器的检查和安全证书认证的方式。因此,许多浏览器提出了相应的应用层方案保护用户免于受到钓鱼网站的攻击。这些方案需要在应用层进行相应修改并给互操作性带来不便,也同时存在可扩展性问题。在本文中,对常见的针对智能设备钓鱼攻击方式整理,并提出不同的解决方案。

1 钓鱼攻击

在过去的几十年中,钓鱼攻击方式在信息安全领域一直是比较严重的安全威胁。这类安全威胁涉及网络中的各个组成部分,如个人终端、组织机构、Web服务器、邮件服务等。特别是由于智能设备的出现,这类钓鱼攻击方式对以Android设备为代表的智能手机设备,造成了巨大的“杀伤力”。攻击者利用钓鱼攻击方式,盗取用户数据,骗取用户密码,给用户造成巨大损失。相比于传统计算机设备智能移动设备更容易受到钓鱼攻击的威胁主要原因:

(1)用户无法判断所访问网站真伪

由于智能设备的屏幕较小,所访问页面的地址信息经常在智能设备中隐藏。即使在浏览器中显示也容易被用户忽视。

(2)移动用户缺少安全意识。大多的移动用户缺少网络安全意识和网络安全知识,因此很难防范钓鱼攻击。

(3)合法应用获得过多权限。许多合法手机端应用申请获得了众多手机的权限,以至于非法应用很容易就通过伪装成合法应用的方式,获得了移动端众多硬件资源的控制权。

1.1 URL显示问题

移动设备和智能手机大多数的屏幕尺寸较小。当用户访问具体网站时通常很难完整显示URL路径。另一方面,手机端网站也为了用户快速访问网站,页面制作过程力求简单高效。因此,用户通过浏览器访问的页面很难确定是真实页面还是伪造页面。

1.2 合法手机应用商店无法访问

根据2015年9月的数据(图1),智能手机市场中,Android操作系统所占比例为53.54%,然而由于多种原因,在国内Google官方商店无法正常访问,很多第三方的软件应用商店成为Android手机的主要下载市场和购买软件产品市场。而由于第三方软件应用商店数量众多,对软件产品的检测和过滤标准不同,造成很多非法和恶意软件流入市场造成安全隐患。

1.3 短信邮件钓鱼

通过手机短信诱导用户访问恶意网站的方法也是常见的钓鱼攻击方式之一。称之为“短信钓鱼”(Smishing)。如图2所示。

1.4 键盘记录攻击

利用相应的间谍类软件程序,这类程序在计算中伪装成浏览器或者驱动程序,记录用户输入密码的过程。而智能手机中同样可以做到这一点。智能设备的输入法可以获取用户所输入的用户名和密码,获取了root权限的钓鱼程序同样可以非常容易的实现用户输入的记录。而现实情况中,无论是IPhone还是Android操作系统,都有大量的智能终端设备被使用者自己获取了root权限,人为的增加了安全风险。

1.5 Session劫持攻击

用Session劫持攻击方式监视用户的活动。该攻击行为通常发生在用户登录或者初始化事务的过程中,恶意钓鱼网站支持相应的用户活动。Wooyun.org图3上公布了在手机上产生的session劫持的相应漏洞(现有漏洞已经修补)。如图3所示。左图中用户登录手机淘宝网,所有链接均带有sid=68d5...作为登录凭证;中图登入后的用户点击外链sid.f3322.org;右图所示sid.f3322.org的所有者用php读出受害者访问该域使用的http header。

1.6 虚假Wi-Fi

虚假Wi-Fi的攻击往往发生在公共场所,伪装成同名真实合法的Wi-Fi进行钓鱼。用户通过该虚假Wi-Fi进行网络访问时所有数据包被截取,包括由自动邮件接收软件所发送的用户名密码的明文数据包被直接被读取。

2 防范策略

针对智能手机钓鱼攻击的防范策略,通过使用智能设备访问网络的用户需要学习并掌握相应的防范技巧,并懂得如何保护自身的智能设备免受钓鱼攻击的安全威胁。在钓鱼攻击的不同阶段,以及针对不同的钓鱼攻击方式,可以采用多种策略进行防范,并阻止钓鱼攻击。

2.1 主要手段

2.1.1 设置钓鱼黑名单

手机端浏览器应具有一系列的黑名单,列举所有已知钓鱼网站域名和IP地址,阻止用户访问这些钓鱼网站。并且,浏览器能定期同步更新黑名单列表。

2.1.2 历史记录列表

对用户浏览网站历史加以记录,所有用户即将访问的新网站进行警告性提示,这种方法可以有效杜绝新的钓鱼网站获取用户数据。

2.1.3 选用可靠手机内置商店下载软件

由于诸多因素Google Play商店无法正常使用,国内有大量第三方Android软件商店提供软件下载服务,但很多商店对软件产品的安全性难以保证。选用手机内置软件商店或者知名软件商店提供商的产品可以有效解决所使用软件不可靠性问题。

2.1.4 控制访问权限

用户对所使用智能设备,不要轻易通过程序获取手机root权限。已经获得root权限的智能设备需要安装授权管理程序。权限管理是智能设备获取root权限后的最后一道防线,要对每个需要获取root权限的APP进行严格的授权审查。

2.1.5 先期预警

先期预警的解决方案是指在用户访问相应的超链接(在短信或者邮件中接收到)之前,给用户相应的安全提示阻止对钓鱼站点的访问。典型的应用是一些反钓鱼工具,在访问发生之前由软件访问规则对相应链接进行判定。这类先期预警工具可以嵌入至智能设备的浏览器中。

2.1.6 慎重连接Wi-Fi

关闭智能设备Wi-Fi自动连接功能,将Wi-Fi连接设置改为手动,掌握Wi-Fi连接的自主权。连接公共Wi-Fi时,与现场的工作人员确认,确定是官方提供的Wi-Fi后再使用。在同一地区,有相同或相似名字的Wi-Fi,很有可能有黑客搭建钓鱼Wi-Fi。一些虚假钓鱼Wi-Fi仿造如机场、咖啡馆等公共Wi-Fi名称命名,普通用户很难辨别真假,诱骗用户点击最终截获手机中密码等高敏感信息。

2.2 具体实例

钓鱼攻击方式是由多种攻击方式构成,很难采用一种防范策略阻止所有的钓鱼攻击产生。采用以下具体方法可以有效减少或避免钓鱼行为的发生:

2.2.1 安装官方应用

用户需要从安全的软件市场或者官方网站获取所需软件。

2.2.2 监控潜在安全威胁

安装在线反钓鱼工具,实时根据已有规则和安全方案诊断当前访问站点是否可信。

2.2.3 在智能设备中使用安全浏览器

有许多浏览器软件本身的安全性就存在问题,浏览器就包含钓鱼网站,因此使用安全浏览器十分必要。使用知名的或者智能设备提供商提供的安全浏览器能保护用户的隐私数据,降低受到钓鱼攻击的风险。

2.2.4 运用书签和历史记录

书签和历史记录可以帮助用户在输入网址时的误操作,并对新访问的网站加以提示,以便于用户的准确的访问可信网站。

2.2.5 全面安全解决方案

智能设备中安装必要的反病毒攻击软件和反木马软件,用安全公司提供的产品全面的智能设备加以保护。

用户提高安全意识和掌握智能设备安全知识。由于智能设备的高智能性,需要智能设备的使用者掌握使用智能设备的多种知识,包括网络安全防护的基本技能。只有用户自身确实感受到的网络安全威胁,才能引起用户的足够重视杜绝钓鱼攻击。

3 结论

智能设备由于屏幕尺寸的约束,相比于传统的网络安全和钓鱼攻击,增加了诸多安全风险因素。对诸多钓鱼攻击的多种攻击方式和安全风险加以全面分析,剖析了针对智能设备钓鱼攻击的多种方式。给出钓鱼攻击的反制方案和具体实例,为智能设备用户有效的保护自身智能设备的安全提供了多种可行方案。本研究为更多的研究者,针对钓鱼安全威胁发现更新颖的反制措施提供了研究基础,

参考文献

[1] Kang A,Lee J D,Kang W M,et al. Security Considerations for Smart Phone Smishing Attacks[M]//Advances in Computer Science and its Applications.Springer Berlin Heidelberg, 2014:467-473.

[2] Daniel Nations.What is Cloud Computing?[EB/OL].[2015-01-05].http://webtrends.about.com/od/enterprise20/a/cloud-computing.htm.

[3] Seclab_zju.手机淘宝网session劫持,可进一步发展为蠕虫[EB/OL].[2012-12-07].http://www.wooyun.org/bugs/wooyun-2012-013794.

作者简介

王雪(1981-),女,辽宁省沈阳市人。学士学位。现为辽宁大学计算中心实验师,主要研究领域为人工智能、网络安全和无线自组织网络路由算法。

董博(1981-),男,辽宁省沈阳市人。硕士学位。现为辽宁大学计算中心讲师。研究方向为数据挖掘、网络信息安全、无线传感器网络。

作者单位

1.辽宁大学信息化中心 辽宁省沈阳市 110036

2.辽宁大学计算中心 辽宁省沈阳市 110036

猜你喜欢

防范策略钓鱼网络安全
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
电力施工企业劳动关系管理的法律风险及其防范策略研究
企业应收账款风险及其防范
新形势下化工企业财务风险及防范策略
钓鱼