行動化應用已是企業近年來勢必得面對的課題,欲藉助行動裝置便利性提高生產力,同時也必須持續強化資安教育。根據賽門鐵克第19期全球網路安全威脅報告(Internet Security Threat Report,ISTR)統計數據,有38%的智慧型手機,在過去12個月內遭遇過行動網路犯罪;並有50%未採取行動裝置的基本保護,例如密碼、防駭軟體、檔案備份。
台灣賽門鐵克總經理宋仲玲指出,全球網路資料外洩事件逐年加劇,僅2013年便增加了62%。資料內容為身分證號、信用卡資料、醫療保險等隱私性資訊,大約已有超過5億筆個資已曝光。會造成如此龐大資料量外洩的主因,根據調查顯示,針對性攻擊、尤其是魚叉式網路釣魚是主要威脅來源,2013年的統計數據增長幅度高達90%。同時真實世界中社群媒體交互應用,使得針對性攻擊事件不但比率增高,成功機率也增加。
值得注意的是,該ISTR報告統計顯示有五成使用者習慣將檔案存放在行動裝置上,其中有超過二成的用戶習慣將工作與私人檔案存在相同雲端儲存,但是只有50%會使用基本資安防護措施,由此不難發現,行動裝置方面的安全性意識仍待加強。
|
▲根據賽門鐵克第19期全球網路安全威脅報告(Internet Security Threat Report,ISTR)統計數據,每瀏覽的八個網站中,就有一個網站含有未經修補的重大弱點。(資料來源:www.symantec.com) |
而零時差漏洞攻擊之所以成為駭客慣用手法,台灣賽門鐵克首席技術顧問張士龍認為,普遍存在網頁安全漏洞可說是助長的關鍵。他指出,每人每天瀏覽八個網站中,即有一個網站含有未經修補的重大弱點。在此報告中分析顯示,77%的網站其頁面內容含有漏洞,其中有近16%的網站漏洞被列為重大。由此數據亦可預期,經由網頁發動的攻擊行為將持續成長。
認證搭配標章 協助用戶識別網站的安全性
為了提升網站安全性,像是Google、Facebook等知名網站,皆已陸續增添Https加密。台灣網路認證(TWCA)產品經理陳柏翰認為,歐美國家資安意識較高,相當重視隱私權,網站服務業者承受不少來自用戶的壓力,即使是關鍵字搜尋也必須以Https加密傳輸。「使用者只要在網址列輸入Https即可連線,不影響原有操作行為。唯一的差別是網址列上顯示一個鎖頭或鑰匙,出現了就表示連線已是SSL加密。」
其實為了不干擾使用者的連網行為,網站認證成功的標示圖形亦設計得不明顯,因此常被忽略,一般使用者也不清楚鎖頭圖示所代表的意義。「網路認證標章的意義即在於此,可成為輔助識別的工具。」陳柏翰強調,只要在網頁上放置一個特定的Logo,並建立使用者對於該圖形與安全連線的關聯性記憶,即可讓辨識變得更為直覺,例如人們看到TWCA的標章即可知道該網站已啟用SSL加密保護。
TWCA所設計的標章為動態。坊間也有設計為靜態圖示的標章,會有被盜用的潛在風險;動態驗證標章,除了有動態文字資訊,還有燈號設計,當網頁被連線存取時,會自動到TWCA查詢憑證狀態,萬一網站有問題或被冒用,燈號即顯示為紅燈。但若最初的標章設計只是單純圖檔顯示,即可能會遭受複製濫用。
為了讓更多網站服務業者瞭解建立安全性網站的重要,TWCA也參與了經濟部商業司與中華民國軟體協會的合作專案,共同執行為期四年的電子商務網站身分識別機制推廣計畫,由TWCA負責提供憑證與標章,以及後台系統的維運工作,讓電子商務業者第一年由政府補助申請使用,之後展期憑證才須自行付費。
以QR Code為核心 發展網頁存取安全
在行動裝置普及後,愈來愈多使用者的瀏覽網頁行為是透過智慧型手機、平板電腦裝置,儘管網頁已申請認證標章,但礙於螢幕尺寸與解析度,標章Logo可能變得不明顯。陳柏翰認為,更重要的是,網站系統已朝向App化設計,邁向行動電子商務時代,勢必會以App為主,網頁認證標章將更難以識別。但他也發現,行動裝置的操作行為,經掃描QR Code(二維條碼)啟動頁面的應用正在增加。
台灣雲端安全聯盟理事長蔡一郎亦觀察到,尤其是在捷運、公車候車亭等戶外廣告看板常見採用QR Code,提供潛在消費者得以快速、方便地獲取訊息。「由於QR Code必須得經過Reader掃描過後才會取得圖形中的內容,我們曾做過測試,在一些公開場合張貼海報中有含QR Code,實際掃描的人數相當多,基本上,只要QR Code搭配活動,例如優惠方案,勢必可吸引人們立即掃描。」
當人們對於掃描QR Code取得資訊或優惠方案的行為日漸熟悉與習慣後,恐將成為駭客利用為詐騙的管道。因此蔡一郎建議,為避免遭遇偽造QR Code,行動裝置本身最好具備可偵測惡意網址的機制,如同偵測釣魚網站,先行確認後再放行通過。
「目前台灣尚未建立QR Code安全性認知,但是在中國卻早已陸續傳出遭受詐騙事件。」陳柏翰指出。由於在中國採用「二維碼」開啟淘寶網網站的動作已習以為常,於是被詐騙集團利用,讓用戶掃描後自動安裝木馬程式,或導向釣魚網站。
就整個行動網頁詐騙流程來看,QR Code正是事件起點,必須要在一開始就得以杜絕,否則安裝惡意程式後資料立即就被帶走。陳柏翰強調,邁向行動化商務時代後,QR Code掃描機制將成為主流,網站服務或電子商務提供者,過去經由認證標章宣示安全性,下一步則應以QR Code為核心考量其應用安全。