「FreeBuf」2020年应该引起关注的8种移动安全威胁( 二 )

而且，现在不仅是电子邮件了。企业安全公司Wandera在其最新的移动威胁报告中指出，过去一年中83％的网络钓鱼攻击都发生在收件箱之外，比如文本消息或Facebook Messenger和WhatsApp之类的应用程序以及各种游戏和社交媒体服务。
此外，根据Verizon的最新数据，虽然只有百分之几的用户点击了与网络钓鱼相关的链接，视行业而定，范围从1％到5％，但Verizon的早期研究表明，那些容易受骗的人倾向于再次上钩。该公司指出，某人点击网络钓鱼活动链接的次数越多，将来他们再次执行此操作的可能性就越大。 Verizon之前曾报告说，成功钓鱼的用户中有15％会在同一年至少会被再钓鱼一次。
PhishMe的信息安全和反网络钓鱼策略师John“ Lex” Robinson说：“我们确实看到移动敏感总体上受到移动计算整体增长的推动，以及BYOD工作环境的持续增长。 ” PhishMe是一家用真实世界的模拟来培训员工识别和应对网络钓鱼的公司。
Robinson指出，工作与个人计算之间的界线也在继续模糊。越来越多的员工在智能手机上同时查看多个收件箱，这些收件箱连接了工作和个人账号，并且几乎每个人都在工作日网上操作某些个人业务。因此，从表面上看，似乎个人邮件和工作信息接收如常，而实际上可能暗藏陷阱。
风险只会不断攀升。显然，网络骗子现在甚至还利用网络钓鱼来诱骗人们放弃两因素身份验证，一种旨在保护账号以防未经授权访问的代码。转向基于硬件的身份验证被广泛认为是提高安全性并减少网络钓鱼可能性的最有效方法，比如通过专用的物理安全密钥（例如Google的Titan或Yubico的YubiKeys），或Android手机通过Google的的设备安全密钥选项。
根据Google、纽约大学和加州大学圣地亚哥分校的一项研究，即在设备上的身份验证可以阻止99％的批量网络钓鱼攻击和90％的针对性攻击，和同类更可疑的2FA代码钓鱼相比，这些设备的有效率分别为96％和76％。

本文插图
三、Wi-Fi干扰移动设备的安全性与传输数据的网络一样。在这个时代，我们不断地连接到公共Wi-Fi网络，这意味着我们的信息通常不像我们想象的那样安全。
这到底有多重要？根据Wandera的研究，企业移动设备使用Wi-Fi几乎是使用蜂窝数据的三倍。近四分之一的设备已连接到开放且可能不安全的Wi-Fi网络，并且有4％的设备在最近一个月内遭受了中间人攻击，即有人恶意拦截了两方之间的通信。 McAfee表示，最近，网络欺骗已“急剧增加” ，但只有不到一半的人在旅行和依赖公共网络时愿意保护自己的连接。
锡拉丘兹大学（Syracuse University）计算机科学教授Kevin Du专门研究智能手机安全性，他说：“如今，对流量进行加密并不难。如果没有VPN ，那么边界就会敞开许多大门。 ”
但是，选择正确的企业级VPN并非易事。与大多数安全性考虑一样，几乎总是需要进行权衡。 Gartner的Zumerle指出：“移动设备的VPN交付需要更加智能，因为最大限度地减少资源（主要是电池）的消耗是至关重要的。有效的VPN应该知道仅在绝对必要时才激活，而不是在用户访问新闻站点之类的东西或在已知安全的应用程序中工作时激活。
四、过时的设备版本智能手机、平板电脑和较小的连接设备（通常称为物联网（IoT））给企业安全带来了新的风险，因为与传统的工作设备不同，它们通常无法保证及时且持续的软件更新。尤其是在Android方面，确实如此，因为绝大多数制造商都无法实时更新，不管是通过操作系统（OS）更新，还是物联网设备每月的安全补丁更新，有些甚至在设计之初就没有更新的选择。
Du说：“其中许多甚至没有内置的修补程序机制，可如今这些威胁正越来越多。 ”