Sophos：2021年消費者安全上網最新研究

「黑色星期五」(Black Friday) 意指11月的最后一個星期五，代表美國感恩節(jié)周末以及全球性的大型網上購物盛會已開始，而此時也是網絡詐騙者和網絡釣魚攻擊蠢蠢欲動的最佳時機。不過，相對地當人們上網瀏覽和共享信息，尤其是使用外部或公司的計算機購物時，是否也應該擔心所面臨的未知風險？
 

Sophos 首席研究科學家 Chester Wisniewski研究當今因特網安全的狀態(tài)。他將研究發(fā)現(xiàn)寫成一系列文章，并在今年的黑色星期五時期公布。

Sophos 首席研究科學家 Chester Wisniewski為了找出問題的答案，因此研究當今因特網安全的狀態(tài)。他將研究發(fā)現(xiàn)寫成一系列三篇文章，并在今年的黑色星期五時期公布。
文章摘要
1.不要害怕 Wi-Fi ─ 在這一篇探討公共 Wi-Fi 安全的文章中，Wisniewski 厘清什么是事實與什么是想象，并發(fā)現(xiàn)大多數(shù)人都比他們想象的要安全得多。例如，攻擊者除了必須實際出現(xiàn)在目標的身邊，還得判斷哪些網站容易受到降級攻擊，以便透過未加密的網站重新導向流量，或是賭運氣看能否找到只有 5% 的未加密網站 (其中大部分是廣告追蹤程序和營銷垃圾郵件)。Wisniewski 還為更謹慎的使用者提供了一些替代方案和指導。
2.密碼管理程序可以使網絡更安全 (但要注意漏洞) ─ 在本文中，Wisniewski 對 8 個密碼管理程序進行了測試。他分別扮演網絡釣魚的「受害者」和潛在的「攻擊者」，查看這些密碼管理程序在面對未加密的網站和使用假憑證的網站時，是否會拒絕自動填入資料和/或提出警告。
3.2021 年全球信息網 (WWW) 安全現(xiàn)況 ─ 隨著越來越多網絡用戶在將個人或財務數(shù)據(jù)送出到瀏覽器之前，會先檢查對方是否為 HTTPS 網站，Wisniewski 決定仔細深入研究 HTTP 強制安全傳輸 (HSTS)，了解有多少網站具備健全的加密和安全，以及加密被普遍采用的情況。Wisniewski 發(fā)現(xiàn)，雖然只有 5% 的網站尚未加密，但 61% 的已加密網站仍可能被「降級」，這會讓使用者暴露在何種程度的風險之中？
Sophos首席研究科學家 Chester Wisniewski表示： 「近年來，全球在改善因特網安全方面取得了巨大進步。我們強化了安全性基準，并在背后改變了實作對加密的方式，以確保通訊能保持私密性。還增強了密碼管理程序，幫助用戶在面對未加密的網站、使用假憑證的網站或顯然是網絡釣魚的網站時能保護自己免受傷害。結合以上發(fā)展，攻擊者不太可能經由公用 Wi-Fi 鎖定使用者。畢竟，這種攻擊只能在受害者附近發(fā)動，而不是從摩爾多瓦透過 Tor 匿名進行犯罪，且投資回報很低，因為最有價值的網站都已經被加密了，所以犯罪分子為什么要還投入時間和精力攻擊？
「但風險依然存在，我們還有很長的路要走。在太多數(shù)情況下，保持安全的大部分責任仍然在使用者。當然，因特網使用者必須始終依照常識判斷和謹慎行事，尤其是在使用未知的網絡或瀏覽不受信任的網站時，還需要小心偽裝成快遞公司或類似企業(yè)的網絡釣魚電子郵件。但是網絡廠商、技術和服務提供商以及網絡安全行業(yè)還是必須了解并縮小仍然存在的安全漏洞—尤其是那些使用者自己無法輕易看到的漏洞——因為如果我們現(xiàn)在不解決它們，當網絡攻擊者找到新方法來鎖定和利用它們或新出現(xiàn)的弱點時，我們就會遠遠落后。」