据了解,最近,网络攻击者为了发起大规模网络钓鱼,不惜投入“血本”,其中就有使用数百个域名,来窃取在线平台用户凭据的“骚操作”,其中不乏使用银行插件木马者,以及偷偷启用远程桌面进而击溃包括指纹验证、短信验证、面部识别等在内的多重身份验证措施的“神操作”。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:通过克隆方式,快速建立虚假网站,骗取用户名和密码的方式,容易被举报进而坍塌,所以一些攻击者变得“不讲武德”,开始注册大量域名,用完即弃,这让侦测钓鱼网站变得困难。同时由于越来越多的网络服务开始启用双重身份验证,要突破这个挑战,使用“客服人员”进行诈骗,成本过高,所以借用诸如NoVNC之类的HTML/JS工具库,嵌入网站或应用中,让用户界面在不知不觉中连接到黑客的“远程桌面”,进而完成身份的二次验证。
这种秘密的操作方法,理论上并不复杂,即所谓的“中间人攻击”而已,算不了什么创新。然而,结合隐藏式远程桌面的方式在此前并广为人知,因为似乎并不易实施。现在,既然该方法都已经被先行者用于实践,在媒体上曝光之时,就如同潘多拉魔盒被打开。相信,罪恶的黑客程序员们开始了军备竞赛,网络安全专家们将面临的是一场正邪较量的持久战。
问题的根源何在?这些年来,网络安全行业得到迅猛发展,计算机病毒都难遭遇到几个,黑客们似乎也都变得很“低调”和“务实”。为什么在网络安全领域,强大的正义之师总是受到黑暗的邪恶势力发起强有力的挑战呢?拿上述实例中暴露的问题来讲,对用户身份进行除了用户名和密码之外的二次鉴别,以防范身份盗窃的技术防御体系,虽然给窃取了用户名和密码的盗窃者增加了麻烦,但是最终还是面临着由于用户被钓鱼的严峻挑战,不管是通过浏览器,还是移动应用的方式。说到底,安全防护技术,可以解决系统方面的弱点,却无法防范胁持用户的网络骗局。而网络不法分子们成功对用户的胁持,要么借用认知的差距,要么借助人性的弱点。
关于认知的差距,源自教育、区域、文化、年龄、性别、专业等差距,人们有受教育程度高低之分、有城乡区域甚至数字经济渗透度之分、有文化信仰之不同、更有年龄的巨大差距、性别造成的性格特点的不同、职业中信息化程度的不同等,这些都会造成人们对网络安全知识的鸿沟。成长于一线城市数字时代的年轻人,只要有心,欺骗初次使用手机的山村老人,那根本不是什么困难的事儿。这种差距能消除吗?能拉平至少拉近一些吗?答案很残酷,不能!至少困难重重,所以,从这一点讲,以网络钓鱼为代表的诈骗,将长久存在。
而人性的弱点(和优点),比如贪婪(热情、执着)、轻信(友善、同情)、虚荣(上进、勇敢)、从众(随和、亲切)、恐惧(安乐、规矩)和大意(宽容、博爱),是非常复杂甚至交错的,与生倶来的,对立统一而又矛盾关联的。不是这方面被利用,就是那方面被利用,永远没有完美的人可以逃脱网络不法分子(更广义讲,商家们、营销人员们)的恶意利用。
如此说来,正义的人们,就该受到敢下“血本”的网络攻击者们的“任意宰割”吗?不!至少,通过一定的努力,在一定程度上,可以弥补认知的差距,认识到利用人性弱点的技俩,进而减少甚至规避因网络盗窃,而带来的损失。世界很大,荡平天下,拯救世界,是“大丈夫”难以实现的终极目标。然而,最可行的也是最迫切的,仍然是先“扫一屋”,即提升自我,提升身边人,提升职责范围内人们的安全认知,减少与网络攻击者们之间的差距。同时,加强对内在“自我”和外部“世界”的认知,不断强化心性的修炼,以达到最接近“完美”的和谐的、可抵抗常规诈骗的成熟至臻状态。
昆明亭长朗然科技有限公司推出了大量的网络安全意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有网络安全相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com
