2014年9月24日星期三

勒索軟件魔爪伸向智能手機


智能手機近年愈趨普及,然而使用者保安意識普遍較電腦使用者薄弱。2014年上半年度,網上攻擊及透過鎖上用戶電腦作勒索行為的案例,不僅持續增加,勒索軟件的魔爪更有伸向智能手機的跡象。F-Secure保安實驗室透露,6月時發現一個名為Slocker的惡意程式,看似合法程式,實則為勒索軟件,亦是首隻於手機平台上執行的勒索軟件。若不幸被黑客鎖上,即須繳付「贖金」解鎖;惟保安專家指出,近年即使已付贖金,亦不獲的解鎖的個案正不斷上升。

F-Secure保安實驗室表示,隨著類似惡意軟件的發現率不斷上升,引証出無論是家庭、企業或政府用戶,均須採用更有效的保安軟件,防患於未然。智能手機平台方面,在2014年第一季,新發現的原種病毒共277種,其中275為是針對Android之病毒。而第二季的數字顯示,共發現了295種新類型原種病毒,其中294種在Android平台上發現,iOS則只佔其一。然而第二季最具危害性的惡意程式有兩種:第一種較典型,用戶受手機木馬程式感染後,會自動發送sms至收費服務號碼,以致用
戶須付高昂的短訊費用;第二是透過智能手機盜取用戶資料,然後傳送至伺服器中。

個人資訊外泄問題嚴重

提及個人資訊外泄,早前俄羅斯網上討論區,即有人上載了近5百萬個Google帳戶及密碼;荷里活亦有大批女星私密照片遭外泄,反映現時網絡安全弱點多多。

就此,美國流動網絡營運商Verizon之《2014年資料外泄調查報告》(2014 Data Breach Investigations Report)指出,遺失及被盜用密碼,乃電腦系統最常見的安全漏洞,而發生此類意外的次數更與日俱增。

亞洲區身份及存取管理主管 Rob Parker表示:「當82%犯罪軟件皆以用戶個人資料為目標,問題即顯而易見。事實上,單靠使用者名稱及密碼,已不再是安全的登入方法。企業如想對數據保密更有信心,必須採用比使用者名稱及密碼登入更精密的保安系統。」

使用二維碼代替密碼登入

Verizon認為,企業須從根本重新思考安全保密措施,包括不再採用使用者名稱及密碼。其中一個取代的方案,是使用二維碼(QR Code)登入。使用者可利用智能手機,於網站快速地掃瞄二維碼,以登入該網站或程式,而毋須再使用者名稱及密碼,整個過程簡易,絕不遜於使用密碼登入。此方法可獨立運作,如須加強保密,亦可成為多重因子認證過程中的其中一個環節。

Verizon另建議採用高層次保密安全策略,包括多重身份鑑定,如指定用戶控制登入及有效率的監察用戶管理。此外,使用企業雲端管理,亦是安全的保密方案之一,因多數企業雲端服務供應商,均設有嚴密的保密協議,以保障自己的客戶業務運作不會中斷,部分更會讓客戶知道或選擇,數據的實體存放位置。已採用雲運算的企業,應聯絡服務供應商,了解數據的實際存放位置,以確保該數據中心的技術、管理及安全程度達標。



沒有留言:

發佈留言