Sophos：2021年消費者安全上網(wǎng)最新研究

「黑色星期五」(Black Friday) 意指11月的最后一個星期五，代表美國感恩節(jié)周末以及全球性的大型網(wǎng)上購物盛會已開始，而此時也是網(wǎng)絡(luò)詐騙者和網(wǎng)絡(luò)釣魚攻擊蠢蠢欲動的最佳時機(jī)。不過，相對地當(dāng)人們上網(wǎng)瀏覽和共享信息，尤其是使用外部或公司的計算機(jī)購物時，是否也應(yīng)該擔(dān)心所面臨的未知風(fēng)險？
 

Sophos 首席研究科學(xué)家 Chester Wisniewski研究當(dāng)今因特網(wǎng)安全的狀態(tài)。他將研究發(fā)現(xiàn)寫成一系列文章，并在今年的黑色星期五時期公布。

Sophos 首席研究科學(xué)家 Chester Wisniewski為了找出問題的答案，因此研究當(dāng)今因特網(wǎng)安全的狀態(tài)。他將研究發(fā)現(xiàn)寫成一系列三篇文章，并在今年的黑色星期五時期公布。
文章摘要
1.不要害怕 Wi-Fi ─ 在這一篇探討公共 Wi-Fi 安全的文章中，Wisniewski 厘清什么是事實與什么是想象，并發(fā)現(xiàn)大多數(shù)人都比他們想象的要安全得多。例如，攻擊者除了必須實際出現(xiàn)在目標(biāo)的身邊，還得判斷哪些網(wǎng)站容易受到降級攻擊，以便透過未加密的網(wǎng)站重新導(dǎo)向流量，或是賭運氣看能否找到只有 5% 的未加密網(wǎng)站 (其中大部分是廣告追蹤程序和營銷垃圾郵件)。Wisniewski 還為更謹(jǐn)慎的使用者提供了一些替代方案和指導(dǎo)。
2.密碼管理程序可以使網(wǎng)絡(luò)更安全 (但要注意漏洞) ─ 在本文中，Wisniewski 對 8 個密碼管理程序進(jìn)行了測試。他分別扮演網(wǎng)絡(luò)釣魚的「受害者」和潛在的「攻擊者」，查看這些密碼管理程序在面對未加密的網(wǎng)站和使用假憑證的網(wǎng)站時，是否會拒絕自動填入資料和/或提出警告。
3.2021 年全球信息網(wǎng) (WWW) 安全現(xiàn)況 ─ 隨著越來越多網(wǎng)絡(luò)用戶在將個人或財務(wù)數(shù)據(jù)送出到瀏覽器之前，會先檢查對方是否為 HTTPS 網(wǎng)站，Wisniewski 決定仔細(xì)深入研究 HTTP 強(qiáng)制安全傳輸 (HSTS)，了解有多少網(wǎng)站具備健全的加密和安全，以及加密被普遍采用的情況。Wisniewski 發(fā)現(xiàn)，雖然只有 5% 的網(wǎng)站尚未加密，但 61% 的已加密網(wǎng)站仍可能被「降級」，這會讓使用者暴露在何種程度的風(fēng)險之中？
Sophos首席研究科學(xué)家 Chester Wisniewski表示： 「近年來，全球在改善因特網(wǎng)安全方面取得了巨大進(jìn)步。我們強(qiáng)化了安全性基準(zhǔn)，并在背后改變了實作對加密的方式，以確保通訊能保持私密性。還增強(qiáng)了密碼管理程序，幫助用戶在面對未加密的網(wǎng)站、使用假憑證的網(wǎng)站或顯然是網(wǎng)絡(luò)釣魚的網(wǎng)站時能保護(hù)自己免受傷害。結(jié)合以上發(fā)展，攻擊者不太可能經(jīng)由公用 Wi-Fi 鎖定使用者。畢竟，這種攻擊只能在受害者附近發(fā)動，而不是從摩爾多瓦透過 Tor 匿名進(jìn)行犯罪，且投資回報很低，因為最有價值的網(wǎng)站都已經(jīng)被加密了，所以犯罪分子為什么要還投入時間和精力攻擊？
「但風(fēng)險依然存在，我們還有很長的路要走。在太多數(shù)情況下，保持安全的大部分責(zé)任仍然在使用者。當(dāng)然，因特網(wǎng)使用者必須始終依照常識判斷和謹(jǐn)慎行事，尤其是在使用未知的網(wǎng)絡(luò)或瀏覽不受信任的網(wǎng)站時，還需要小心偽裝成快遞公司或類似企業(yè)的網(wǎng)絡(luò)釣魚電子郵件。但是網(wǎng)絡(luò)廠商、技術(shù)和服務(wù)提供商以及網(wǎng)絡(luò)安全行業(yè)還是必須了解并縮小仍然存在的安全漏洞—尤其是那些使用者自己無法輕易看到的漏洞——因為如果我們現(xiàn)在不解決它們，當(dāng)網(wǎng)絡(luò)攻擊者找到新方法來鎖定和利用它們或新出現(xiàn)的弱點時，我們就會遠(yuǎn)遠(yuǎn)落后?！?