账号/手机/邮箱:密码:验证码:注册|
安凌云服务-首页

如何防范移动端钓鱼式攻击 浏览:38838  回复:9
昵称:董美艳


楼主 | 发表于 2015-06-12 10:39:41

  关于钓鱼式攻击,其实是通过一种社会工程学的方式来愚弄用户的攻击式,攻击者通常会模仿一个用户信任的网站来偷取用户的机密信息,比如用户密码或是信用卡。一般来说,攻击者会通过邮件和实时通信工具完成,给被攻击者发送一个高仿的网站,然后让用户看不出来与正统网站的差别,然后收集用户的机密数据。
移动端钓鱼攻击点分析
1.在移动端,这个事情会更容易干,因为移动端有如下特点:
.移动端的UI只能有一个应用占据整个屏幕,你只能看到一个应用,而且用户屏幕小,能显示的信息有限,比如浏览器里的网址是显示不全的。这会给钓鱼攻击有很多可乘之机。
. 移动端的平台有其安全的设计。每个应用都是隔离开的,一个应用无法获取另一个应用的数据。而且应用的下载基本上来说都是来自合法的地方。比如iOS的设备通过App Store下载,每个程序都有自己的签名保证不会被篡改。而且移动端的的应用有各种权限配置,这样也能很大程度提高安全性。
. 移动端的APP有些有些是收费的,所以自然会有盗版需求,虽然在平台上做了一些安全设计,但是并不完美。用户可以越狱,可以root。这给恶意软件有了可乘之机。
下面我们来分析下移动端的用户操作,我们重点关注用户控制权的切换过程(因为这是攻击点)
在移动设备上,基本上来说,用户的控制切换有四种:
 .从一个APP切到另一个APP,也就是我们所谓的唤出APP。
 .从一个APP唤出一个Web,常见为一个嵌入式的WebView或是一个浏览器
 .从一个Web唤出一个APP,这需要浏览器支持一些非标准的HTTP协议,比如skype://之类的。
 .从一个Web到另一个Web,这和Web上的方式差不多。
基本上来说,黑客的攻击从来都是找这样的转换环节来做文章的,并且需要一个用户非常熟悉的场景(这样用户才会放松警惕)。
当用户打开该网址后,会看到与自己熟悉的银行、SNS等一模一样的界面,从而放松警惕,按照网站要求输入账号密码,立即会被钓鱼者记录并上传至指定位置。

2.    通过App方式,则又分两种,一种是直接开发一款与热门应用一样的软件,欺骗用户下载安装后,一旦用户输入了账号密码,就会记录下账号密码。另一种则是将记录用户账号密码的恶意代码植入热门应用中,特别是游戏、网银、网购、即时通信等应用是遭遇植入的重点,因为这类用户的账号更有利可图  

怎么防范钓鱼式攻击
首先,我们要知道,钓鱼式攻击是一件非常难搞的事。要搞定这个事,一般来说需要四个方面:立法层面、用户培训层面、宣传层面、与技术保全措施层面。
教育方面
打击网钓的策略之一,是试着培养人们识别网钓,并教导怎样处理这些问题。只需要稍稍修改人们浏览习惯的方式,很多问题都可以避免。随着人们越来越认识到网钓者所使用的社会工程学技俩,传统的网钓欺诈技术可能在未来过时。
.对别人发来的链接要小心,尤其是让你输入机密信息的链接要小心检查。
.到正规的地方买手机,不要贪图小便宜。旧手机在卖前要“物理删除”数据。
.不要对手机越狱,不要root。
.不要从非信任的地方下载软件。
. 要小心免费的WiFi。
. 输入机密数据的时候一定要小心检查。
.多依赖一些不同的安全体系,比如:网上支付不要只依赖支付宝,尽量使用信用卡(信用卡千万不要设密码),这样就算是被钓鱼了,你还有一个银行安全的缓冲地带——可以不承认交易。
.现在使用手机的频率越来越高,所以,我非常建议你使用更为安全的iPhone手机,一定要打开“查找我的iPhone”功能,然后设上开机密码。iPhone手机可以做到手机丢失了别人都无法使用,包括刷机都刷不了(iOS7以上版本)
.对于一些关键网站,开启两步验证,这样就算你的用户名和密码被钓走了,还有一个动态手机口令做为登录的关卡。
技术方面
. 利用SSL证书来保证从浏览器到网站的访问是现在采用比较多的方式,也是在理论上可行的方式。现代的浏览器都会在URL上放上一个锁的标志,对于EV证书,你会看到浏览器的URL是绿色的(很容易分辨)
.另外,像firefox浏览器有一个petname的插件,你可以为你常上的网站设置一些标签。这样,当你打开钓鱼网站的时候,你会发现这些标签没有显示出来,那就有问题了。
. 关于SSL的CA认证机构,你需要管理好你浏览的那些根证书,有些根证书你需要删掉。
.还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。比如PhishTank,以及中国防钓鱼网站联盟。
.增加式登录方式。这种方式被美国银行采用,就是说,你可以上传一个你自己知道的图片,而当你打开登录页面里时,输入了自己的用户名后,你会看到你设置的这个图片被显示出来。如果没有或是显示错了,表示你打开的是钓鱼网站。
.两步验证,通过用户自设密码+手机动态口令登录(好些网站都在使用Google Authenticator的方式,这有点像公司VPN的动态口令)。
上述都是PC Web上的防范,然而我们的手机移动端做的并不够好,移动端的安全还是要加油。

 

声明:部分文章来源于互联网及其他平台,内容仅供读者参考,不确保文章的准确性,重在分享,所有图片和文字来自网络,如有版权所属归原版权者所有,如果侵犯请告知,我将在24小时删除!

 

昵称:wnvCpgrV


发表于 2017-04-07 0:08:48

div style="text-align:right;" br / /div
昵称:wnvCpgrV


发表于 2017-05-04 22:32:15

div style="text-align:right;" br / /div
昵称:wnvCpgrV


发表于 2017-05-18 14:45:51

div style="text-align:right;" br / /div
昵称:wnvCpgrV


发表于 2017-05-18 15:18:19

div style="text-align:right;" br / /div
昵称:wnvCpgrV


发表于 2017-05-18 15:18:20

div style="text-align:right;" img src="http://club.onlycrm.com/controls/kindeditor/plugins/emoticons/images/0.gif" border="0" alt="" /br / /div

快速回帖 请输入昵称:

发新帖