針對(duì)智能手機(jī)的釣魚攻擊與防范策略研究

隨著近年來(lái)智能移動(dòng)設(shè)備的快速發(fā)展，以手機(jī)為代表的智能移動(dòng)設(shè)備成為人類不可或缺的重要工具。正是由于智能手機(jī)的廣泛普及，針對(duì)智能手機(jī)的攻擊方式也呈多樣化趨勢(shì)。多種不同的釣魚攻擊方式是研究的主要對(duì)象。釣魚網(wǎng)站在頁(yè)面中夾帶病毒、木馬程序、或者用虛假應(yīng)用程序偽造成合法的應(yīng)用供用戶下載安裝，達(dá)到竊取用戶數(shù)據(jù)的目的。探討了對(duì)不釣魚攻擊采用不同的防范策略，增強(qiáng)智能手機(jī)用戶對(duì)釣魚攻擊的風(fēng)險(xiǎn)防范意識(shí)。

【關(guān)鍵詞】釣魚 網(wǎng)絡(luò)安全 智能移動(dòng)設(shè)備 竊取密碼 防范策略

如今，智能手機(jī)在日常生活中正發(fā)揮著越來(lái)越重要的作用。智能手機(jī)同個(gè)人計(jì)算機(jī)一樣可以進(jìn)行網(wǎng)絡(luò)互聯(lián)與信息分享。然而，由于互聯(lián)網(wǎng)在安全性方面有很大不足，在巨大利益的驅(qū)使下，促使攻擊者對(duì)移動(dòng)智能互聯(lián)設(shè)備在數(shù)據(jù)交換過(guò)程中，有強(qiáng)烈的攻擊動(dòng)機(jī)。伴隨互聯(lián)網(wǎng)的日益流行趨勢(shì)，網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)以指數(shù)級(jí)增加。存在諸多安全風(fēng)險(xiǎn)因素如，網(wǎng)絡(luò)嗅探、劫持用戶敏感數(shù)據(jù)和個(gè)人數(shù)據(jù)等。

釣魚網(wǎng)站之所以能夠成功獲取用戶數(shù)據(jù)，其主要原因在于：誤導(dǎo)用戶相信所訪問(wèn)網(wǎng)站是合法網(wǎng)站，或是合法網(wǎng)站的另外版本。因此，偵測(cè)并防范釣魚網(wǎng)站的主要問(wèn)題是認(rèn)證用戶與服務(wù)器之間的所建立的互信關(guān)系問(wèn)題。解決互信問(wèn)題最常見(jiàn)的傳輸層安全協(xié)議TLS（Transport Layer Security）是現(xiàn)代安全網(wǎng)站和電子交易的基礎(chǔ)。不過(guò)TLS并不能夠完全解決欺騙和釣魚攻擊，而且經(jīng)常依賴于瀏覽器的檢查和安全證書認(rèn)證的方式。因此，許多瀏覽器提出了相應(yīng)的應(yīng)用層方案保護(hù)用戶免于受到釣魚網(wǎng)站的攻擊。這些方案需要在應(yīng)用層進(jìn)行相應(yīng)修改并給互操作性帶來(lái)不便，也同時(shí)存在可擴(kuò)展性問(wèn)題。在本文中，對(duì)常見(jiàn)的針對(duì)智能設(shè)備釣魚攻擊方式整理，并提出不同的解決方案。

1 釣魚攻擊

在過(guò)去的幾十年中，釣魚攻擊方式在信息安全領(lǐng)域一直是比較嚴(yán)重的安全威脅。這類安全威脅涉及網(wǎng)絡(luò)中的各個(gè)組成部分，如個(gè)人終端、組織機(jī)構(gòu)、Web服務(wù)器、郵件服務(wù)等。特別是由于智能設(shè)備的出現(xiàn)，這類釣魚攻擊方式對(duì)以Android設(shè)備為代表的智能手機(jī)設(shè)備，造成了巨大的“殺傷力”。攻擊者利用釣魚攻擊方式，盜取用戶數(shù)據(jù)，騙取用戶密碼，給用戶造成巨大損失。相比于傳統(tǒng)計(jì)算機(jī)設(shè)備智能移動(dòng)設(shè)備更容易受到釣魚攻擊的威脅主要原因：

（1）用戶無(wú)法判斷所訪問(wèn)網(wǎng)站真?zhèn)?/p>

由于智能設(shè)備的屏幕較小，所訪問(wèn)頁(yè)面的地址信息經(jīng)常在智能設(shè)備中隱藏。即使在瀏覽器中顯示也容易被用戶忽視。

（2）移動(dòng)用戶缺少安全意識(shí)。大多的移動(dòng)用戶缺少網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全知識(shí)，因此很難防范釣魚攻擊。

（3）合法應(yīng)用獲得過(guò)多權(quán)限。許多合法手機(jī)端應(yīng)用申請(qǐng)獲得了眾多手機(jī)的權(quán)限，以至于非法應(yīng)用很容易就通過(guò)偽裝成合法應(yīng)用的方式，獲得了移動(dòng)端眾多硬件資源的控制權(quán)。

1.1 URL顯示問(wèn)題

移動(dòng)設(shè)備和智能手機(jī)大多數(shù)的屏幕尺寸較小。當(dāng)用戶訪問(wèn)具體網(wǎng)站時(shí)通常很難完整顯示URL路徑。另一方面，手機(jī)端網(wǎng)站也為了用戶快速訪問(wèn)網(wǎng)站，頁(yè)面制作過(guò)程力求簡(jiǎn)單高效。因此，用戶通過(guò)瀏覽器訪問(wèn)的頁(yè)面很難確定是真實(shí)頁(yè)面還是偽造頁(yè)面。

1.2 合法手機(jī)應(yīng)用商店無(wú)法訪問(wèn)

根據(jù)2015年9月的數(shù)據(jù)（圖1），智能手機(jī)市場(chǎng)中，Android操作系統(tǒng)所占比例為53.54%，然而由于多種原因，在國(guó)內(nèi)Google官方商店無(wú)法正常訪問(wèn)，很多第三方的軟件應(yīng)用商店成為Android手機(jī)的主要下載市場(chǎng)和購(gòu)買軟件產(chǎn)品市場(chǎng)。而由于第三方軟件應(yīng)用商店數(shù)量眾多，對(duì)軟件產(chǎn)品的檢測(cè)和過(guò)濾標(biāo)準(zhǔn)不同，造成很多非法和惡意軟件流入市場(chǎng)造成安全隱患。

1.3 短信郵件釣魚

通過(guò)手機(jī)短信誘導(dǎo)用戶訪問(wèn)惡意網(wǎng)站的方法也是常見(jiàn)的釣魚攻擊方式之一。稱之為“短信釣魚”（Smishing）。如圖2所示。

1.4 鍵盤記錄攻擊

利用相應(yīng)的間諜類軟件程序，這類程序在計(jì)算中偽裝成瀏覽器或者驅(qū)動(dòng)程序，記錄用戶輸入密碼的過(guò)程。而智能手機(jī)中同樣可以做到這一點(diǎn)。智能設(shè)備的輸入法可以獲取用戶所輸入的用戶名和密碼，獲取了root權(quán)限的釣魚程序同樣可以非常容易的實(shí)現(xiàn)用戶輸入的記錄。而現(xiàn)實(shí)情況中，無(wú)論是IPhone還是Android操作系統(tǒng)，都有大量的智能終端設(shè)備被使用者自己獲取了root權(quán)限，人為的增加了安全風(fēng)險(xiǎn)。

1.5 Session劫持攻擊

用Session劫持攻擊方式監(jiān)視用戶的活動(dòng)。該攻擊行為通常發(fā)生在用戶登錄或者初始化事務(wù)的過(guò)程中，惡意釣魚網(wǎng)站支持相應(yīng)的用戶活動(dòng)。Wooyun.org圖3上公布了在手機(jī)上產(chǎn)生的session劫持的相應(yīng)漏洞（現(xiàn)有漏洞已經(jīng)修補(bǔ)）。如圖3所示。左圖中用戶登錄手機(jī)淘寶網(wǎng)，所有鏈接均帶有sid=68d5...作為登錄憑證；中圖登入后的用戶點(diǎn)擊外鏈sid.f3322.org；右圖所示sid.f3322.org的所有者用php讀出受害者訪問(wèn)該域使用的http header。

1.6 虛假Wi-Fi

虛假Wi-Fi的攻擊往往發(fā)生在公共場(chǎng)所，偽裝成同名真實(shí)合法的Wi-Fi進(jìn)行釣魚。用戶通過(guò)該虛假Wi-Fi進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)所有數(shù)據(jù)包被截取，包括由自動(dòng)郵件接收軟件所發(fā)送的用戶名密碼的明文數(shù)據(jù)包被直接被讀取。

2 防范策略

針對(duì)智能手機(jī)釣魚攻擊的防范策略，通過(guò)使用智能設(shè)備訪問(wèn)網(wǎng)絡(luò)的用戶需要學(xué)習(xí)并掌握相應(yīng)的防范技巧，并懂得如何保護(hù)自身的智能設(shè)備免受釣魚攻擊的安全威脅。在釣魚攻擊的不同階段，以及針對(duì)不同的釣魚攻擊方式，可以采用多種策略進(jìn)行防范，并阻止釣魚攻擊。

2.1 主要手段

2.1.1 設(shè)置釣魚黑名單

手機(jī)端瀏覽器應(yīng)具有一系列的黑名單，列舉所有已知釣魚網(wǎng)站域名和IP地址，阻止用戶訪問(wèn)這些釣魚網(wǎng)站。并且，瀏覽器能定期同步更新黑名單列表。

2.1.2 歷史記錄列表

對(duì)用戶瀏覽網(wǎng)站歷史加以記錄，所有用戶即將訪問(wèn)的新網(wǎng)站進(jìn)行警告性提示，這種方法可以有效杜絕新的釣魚網(wǎng)站獲取用戶數(shù)據(jù)。

2.1.3 選用可靠手機(jī)內(nèi)置商店下載軟件

由于諸多因素Google Play商店無(wú)法正常使用，國(guó)內(nèi)有大量第三方Android軟件商店提供軟件下載服務(wù)，但很多商店對(duì)軟件產(chǎn)品的安全性難以保證。選用手機(jī)內(nèi)置軟件商店或者知名軟件商店提供商的產(chǎn)品可以有效解決所使用軟件不可靠性問(wèn)題。

2.1.4 控制訪問(wèn)權(quán)限

用戶對(duì)所使用智能設(shè)備，不要輕易通過(guò)程序獲取手機(jī)root權(quán)限。已經(jīng)獲得root權(quán)限的智能設(shè)備需要安裝授權(quán)管理程序。權(quán)限管理是智能設(shè)備獲取root權(quán)限后的最后一道防線，要對(duì)每個(gè)需要獲取root權(quán)限的APP進(jìn)行嚴(yán)格的授權(quán)審查。

2.1.5 先期預(yù)警

先期預(yù)警的解決方案是指在用戶訪問(wèn)相應(yīng)的超鏈接（在短信或者郵件中接收到）之前，給用戶相應(yīng)的安全提示阻止對(duì)釣魚站點(diǎn)的訪問(wèn)。典型的應(yīng)用是一些反釣魚工具，在訪問(wèn)發(fā)生之前由軟件訪問(wèn)規(guī)則對(duì)相應(yīng)鏈接進(jìn)行判定。這類先期預(yù)警工具可以嵌入至智能設(shè)備的瀏覽器中。

2.1.6 慎重連接Wi-Fi

關(guān)閉智能設(shè)備Wi-Fi自動(dòng)連接功能，將Wi-Fi連接設(shè)置改為手動(dòng)，掌握Wi-Fi連接的自主權(quán)。連接公共Wi-Fi時(shí)，與現(xiàn)場(chǎng)的工作人員確認(rèn)，確定是官方提供的Wi-Fi后再使用。在同一地區(qū)，有相同或相似名字的Wi-Fi，很有可能有黑客搭建釣魚Wi-Fi。一些虛假釣魚Wi-Fi仿造如機(jī)場(chǎng)、咖啡館等公共Wi-Fi名稱命名，普通用戶很難辨別真假，誘騙用戶點(diǎn)擊最終截獲手機(jī)中密碼等高敏感信息。

2.2 具體實(shí)例

釣魚攻擊方式是由多種攻擊方式構(gòu)成，很難采用一種防范策略阻止所有的釣魚攻擊產(chǎn)生。采用以下具體方法可以有效減少或避免釣魚行為的發(fā)生：

2.2.1 安裝官方應(yīng)用

用戶需要從安全的軟件市場(chǎng)或者官方網(wǎng)站獲取所需軟件。

2.2.2 監(jiān)控潛在安全威脅

安裝在線反釣魚工具，實(shí)時(shí)根據(jù)已有規(guī)則和安全方案診斷當(dāng)前訪問(wèn)站點(diǎn)是否可信。

2.2.3 在智能設(shè)備中使用安全瀏覽器

有許多瀏覽器軟件本身的安全性就存在問(wèn)題，瀏覽器就包含釣魚網(wǎng)站，因此使用安全瀏覽器十分必要。使用知名的或者智能設(shè)備提供商提供的安全瀏覽器能保護(hù)用戶的隱私數(shù)據(jù)，降低受到釣魚攻擊的風(fēng)險(xiǎn)。

2.2.4 運(yùn)用書簽和歷史記錄

書簽和歷史記錄可以幫助用戶在輸入網(wǎng)址時(shí)的誤操作，并對(duì)新訪問(wèn)的網(wǎng)站加以提示，以便于用戶的準(zhǔn)確的訪問(wèn)可信網(wǎng)站。

2.2.5 全面安全解決方案

智能設(shè)備中安裝必要的反病毒攻擊軟件和反木馬軟件，用安全公司提供的產(chǎn)品全面的智能設(shè)備加以保護(hù)。

用戶提高安全意識(shí)和掌握智能設(shè)備安全知識(shí)。由于智能設(shè)備的高智能性，需要智能設(shè)備的使用者掌握使用智能設(shè)備的多種知識(shí)，包括網(wǎng)絡(luò)安全防護(hù)的基本技能。只有用戶自身確實(shí)感受到的網(wǎng)絡(luò)安全威脅，才能引起用戶的足夠重視杜絕釣魚攻擊。

3 結(jié)論

智能設(shè)備由于屏幕尺寸的約束，相比于傳統(tǒng)的網(wǎng)絡(luò)安全和釣魚攻擊，增加了諸多安全風(fēng)險(xiǎn)因素。對(duì)諸多釣魚攻擊的多種攻擊方式和安全風(fēng)險(xiǎn)加以全面分析，剖析了針對(duì)智能設(shè)備釣魚攻擊的多種方式。給出釣魚攻擊的反制方案和具體實(shí)例，為智能設(shè)備用戶有效的保護(hù)自身智能設(shè)備的安全提供了多種可行方案。本研究為更多的研究者，針對(duì)釣魚安全威脅發(fā)現(xiàn)更新穎的反制措施提供了研究基礎(chǔ)，

參考文獻(xiàn)

[1] Kang A，Lee J D，Kang W M，et al. Security Considerations for Smart Phone Smishing Attacks[M]//Advances in Computer Science and its Applications.Springer Berlin Heidelberg， 2014：467-473.

[2] Daniel Nations.What is Cloud Computing？[EB/OL].[2015-01-05].http：//webtrends.about.com/od/enterprise20/a/cloud-computing.htm.

[3] Seclab_zju.手機(jī)淘寶網(wǎng)session劫持，可進(jìn)一步發(fā)展為蠕蟲(chóng)[EB/OL].[2012-12-07].http：//www.wooyun.org/bugs/wooyun-2012-013794.

作者簡(jiǎn)介

王雪（1981-），女，遼寧省沈陽(yáng)市人。學(xué)士學(xué)位?，F(xiàn)為遼寧大學(xué)計(jì)算中心實(shí)驗(yàn)師，主要研究領(lǐng)域?yàn)槿斯ぶ悄?、網(wǎng)絡(luò)安全和無(wú)線自組織網(wǎng)絡(luò)路由算法。

董博（1981-），男，遼寧省沈陽(yáng)市人。碩士學(xué)位?，F(xiàn)為遼寧大學(xué)計(jì)算中心講師。研究方向?yàn)閿?shù)據(jù)挖掘、網(wǎng)絡(luò)信息安全、無(wú)線傳感器網(wǎng)絡(luò)。

作者單位

1.遼寧大學(xué)信息化中心 遼寧省沈陽(yáng)市 110036

2.遼寧大學(xué)計(jì)算中心 遼寧省沈陽(yáng)市 110036