針對智能手機的釣魚攻擊與防范策略研究

隨著近年來智能移動設備的快速發展，以手機為代表的智能移動設備成為人類不可或缺的重要工具。正是由于智能手機的廣泛普及，針對智能手機的攻擊方式也呈多樣化趨勢。多種不同的釣魚攻擊方式是研究的主要對象。釣魚網站在頁面中夾帶病毒、木馬程序、或者用虛假應用程序偽造成合法的應用供用戶下載安裝，達到竊取用戶數據的目的。探討了對不釣魚攻擊采用不同的防范策略，增強智能手機用戶對釣魚攻擊的風險防范意識。

【關鍵詞】釣魚 網絡安全 智能移動設備 竊取密碼 防范策略

如今，智能手機在日常生活中正發揮著越來越重要的作用。智能手機同個人計算機一樣可以進行網絡互聯與信息分享。然而，由于互聯網在安全性方面有很大不足，在巨大利益的驅使下，促使攻擊者對移動智能互聯設備在數據交換過程中，有強烈的攻擊動機。伴隨互聯網的日益流行趨勢，網絡的安全風險以指數級增加。存在諸多安全風險因素如，網絡嗅探、劫持用戶敏感數據和個人數據等。

釣魚網站之所以能夠成功獲取用戶數據，其主要原因在于：誤導用戶相信所訪問網站是合法網站，或是合法網站的另外版本。因此，偵測并防范釣魚網站的主要問題是認證用戶與服務器之間的所建立的互信關系問題。解決互信問題最常見的傳輸層安全協議TLS（Transport Layer Security）是現代安全網站和電子交易的基礎。不過TLS并不能夠完全解決欺騙和釣魚攻擊，而且經常依賴于瀏覽器的檢查和安全證書認證的方式。因此，許多瀏覽器提出了相應的應用層方案保護用戶免于受到釣魚網站的攻擊。這些方案需要在應用層進行相應修改并給互操作性帶來不便，也同時存在可擴展性問題。在本文中，對常見的針對智能設備釣魚攻擊方式整理，并提出不同的解決方案。

1 釣魚攻擊

在過去的幾十年中，釣魚攻擊方式在信息安全領域一直是比較嚴重的安全威脅。這類安全威脅涉及網絡中的各個組成部分，如個人終端、組織機構、Web服務器、郵件服務等。特別是由于智能設備的出現，這類釣魚攻擊方式對以Android設備為代表的智能手機設備，造成了巨大的“殺傷力”。攻擊者利用釣魚攻擊方式，盜取用戶數據，騙取用戶密碼，給用戶造成巨大損失。相比于傳統計算機設備智能移動設備更容易受到釣魚攻擊的威脅主要原因：

（1）用戶無法判斷所訪問網站真偽

由于智能設備的屏幕較小，所訪問頁面的地址信息經常在智能設備中隱藏。即使在瀏覽器中顯示也容易被用戶忽視。

（2）移動用戶缺少安全意識。大多的移動用戶缺少網絡安全意識和網絡安全知識，因此很難防范釣魚攻擊。

（3）合法應用獲得過多權限。許多合法手機端應用申請獲得了眾多手機的權限，以至于非法應用很容易就通過偽裝成合法應用的方式，獲得了移動端眾多硬件資源的控制權。

1.1 URL顯示問題

移動設備和智能手機大多數的屏幕尺寸較小。當用戶訪問具體網站時通常很難完整顯示URL路徑。另一方面，手機端網站也為了用戶快速訪問網站，頁面制作過程力求簡單高效。因此，用戶通過瀏覽器訪問的頁面很難確定是真實頁面還是偽造頁面。

1.2 合法手機應用商店無法訪問

根據2015年9月的數據（圖1），智能手機市場中，Android操作系統所占比例為53.54%，然而由于多種原因，在國內Google官方商店無法正常訪問，很多第三方的軟件應用商店成為Android手機的主要下載市場和購買軟件產品市場。而由于第三方軟件應用商店數量眾多，對軟件產品的檢測和過濾標準不同，造成很多非法和惡意軟件流入市場造成安全隱患。

1.3 短信郵件釣魚

通過手機短信誘導用戶訪問惡意網站的方法也是常見的釣魚攻擊方式之一。稱之為“短信釣魚”（Smishing）。如圖2所示。

1.4 鍵盤記錄攻擊

利用相應的間諜類軟件程序，這類程序在計算中偽裝成瀏覽器或者驅動程序，記錄用戶輸入密碼的過程。而智能手機中同樣可以做到這一點。智能設備的輸入法可以獲取用戶所輸入的用戶名和密碼，獲取了root權限的釣魚程序同樣可以非常容易的實現用戶輸入的記錄。而現實情況中，無論是IPhone還是Android操作系統，都有大量的智能終端設備被使用者自己獲取了root權限，人為的增加了安全風險。

1.5 Session劫持攻擊

用Session劫持攻擊方式監視用戶的活動。該攻擊行為通常發生在用戶登錄或者初始化事務的過程中，惡意釣魚網站支持相應的用戶活動。Wooyun.org圖3上公布了在手機上產生的session劫持的相應漏洞（現有漏洞已經修補）。如圖3所示。左圖中用戶登錄手機淘寶網，所有鏈接均帶有sid=68d5...作為登錄憑證；中圖登入后的用戶點擊外鏈sid.f3322.org；右圖所示sid.f3322.org的所有者用php讀出受害者訪問該域使用的http header。

1.6 虛假Wi-Fi

虛假Wi-Fi的攻擊往往發生在公共場所，偽裝成同名真實合法的Wi-Fi進行釣魚。用戶通過該虛假Wi-Fi進行網絡訪問時所有數據包被截取，包括由自動郵件接收軟件所發送的用戶名密碼的明文數據包被直接被讀取。

2 防范策略

針對智能手機釣魚攻擊的防范策略，通過使用智能設備訪問網絡的用戶需要學習并掌握相應的防范技巧，并懂得如何保護自身的智能設備免受釣魚攻擊的安全威脅。在釣魚攻擊的不同階段，以及針對不同的釣魚攻擊方式，可以采用多種策略進行防范，并阻止釣魚攻擊。

2.1 主要手段

2.1.1 設置釣魚黑名單

手機端瀏覽器應具有一系列的黑名單，列舉所有已知釣魚網站域名和IP地址，阻止用戶訪問這些釣魚網站。并且，瀏覽器能定期同步更新黑名單列表。

2.1.2 歷史記錄列表

對用戶瀏覽網站歷史加以記錄，所有用戶即將訪問的新網站進行警告性提示，這種方法可以有效杜絕新的釣魚網站獲取用戶數據。

2.1.3 選用可靠手機內置商店下載軟件

由于諸多因素Google Play商店無法正常使用，國內有大量第三方Android軟件商店提供軟件下載服務，但很多商店對軟件產品的安全性難以保證。選用手機內置軟件商店或者知名軟件商店提供商的產品可以有效解決所使用軟件不可靠性問題。

2.1.4 控制訪問權限

用戶對所使用智能設備，不要輕易通過程序獲取手機root權限。已經獲得root權限的智能設備需要安裝授權管理程序。權限管理是智能設備獲取root權限后的最后一道防線，要對每個需要獲取root權限的APP進行嚴格的授權審查。

2.1.5 先期預警

先期預警的解決方案是指在用戶訪問相應的超鏈接（在短信或者郵件中接收到）之前，給用戶相應的安全提示阻止對釣魚站點的訪問。典型的應用是一些反釣魚工具，在訪問發生之前由軟件訪問規則對相應鏈接進行判定。這類先期預警工具可以嵌入至智能設備的瀏覽器中。

2.1.6 慎重連接Wi-Fi

關閉智能設備Wi-Fi自動連接功能，將Wi-Fi連接設置改為手動，掌握Wi-Fi連接的自主權。連接公共Wi-Fi時，與現場的工作人員確認，確定是官方提供的Wi-Fi后再使用。在同一地區，有相同或相似名字的Wi-Fi，很有可能有黑客搭建釣魚Wi-Fi。一些虛假釣魚Wi-Fi仿造如機場、咖啡館等公共Wi-Fi名稱命名，普通用戶很難辨別真假，誘騙用戶點擊最終截獲手機中密碼等高敏感信息。

2.2 具體實例

釣魚攻擊方式是由多種攻擊方式構成，很難采用一種防范策略阻止所有的釣魚攻擊產生。采用以下具體方法可以有效減少或避免釣魚行為的發生：

2.2.1 安裝官方應用

用戶需要從安全的軟件市場或者官方網站獲取所需軟件。

2.2.2 監控潛在安全威脅

安裝在線反釣魚工具，實時根據已有規則和安全方案診斷當前訪問站點是否可信。

2.2.3 在智能設備中使用安全瀏覽器

有許多瀏覽器軟件本身的安全性就存在問題，瀏覽器就包含釣魚網站，因此使用安全瀏覽器十分必要。使用知名的或者智能設備提供商提供的安全瀏覽器能保護用戶的隱私數據，降低受到釣魚攻擊的風險。

2.2.4 運用書簽和歷史記錄

書簽和歷史記錄可以幫助用戶在輸入網址時的誤操作，并對新訪問的網站加以提示，以便于用戶的準確的訪問可信網站。

2.2.5 全面安全解決方案

智能設備中安裝必要的反病毒攻擊軟件和反木馬軟件，用安全公司提供的產品全面的智能設備加以保護。

用戶提高安全意識和掌握智能設備安全知識。由于智能設備的高智能性，需要智能設備的使用者掌握使用智能設備的多種知識，包括網絡安全防護的基本技能。只有用戶自身確實感受到的網絡安全威脅，才能引起用戶的足夠重視杜絕釣魚攻擊。

3 結論

智能設備由于屏幕尺寸的約束，相比于傳統的網絡安全和釣魚攻擊，增加了諸多安全風險因素。對諸多釣魚攻擊的多種攻擊方式和安全風險加以全面分析，剖析了針對智能設備釣魚攻擊的多種方式。給出釣魚攻擊的反制方案和具體實例，為智能設備用戶有效的保護自身智能設備的安全提供了多種可行方案。本研究為更多的研究者，針對釣魚安全威脅發現更新穎的反制措施提供了研究基礎，

參考文獻

[1] Kang A，Lee J D，Kang W M，et al. Security Considerations for Smart Phone Smishing Attacks[M]//Advances in Computer Science and its Applications.Springer Berlin Heidelberg， 2014：467-473.

[2] Daniel Nations.What is Cloud Computing？[EB/OL].[2015-01-05].http：//webtrends.about.com/od/enterprise20/a/cloud-computing.htm.

[3] Seclab_zju.手機淘寶網session劫持，可進一步發展為蠕蟲[EB/OL].[2012-12-07].http：//www.wooyun.org/bugs/wooyun-2012-013794.

作者簡介

王雪（1981-），女，遼寧省沈陽市人。學士學位。現為遼寧大學計算中心實驗師，主要研究領域為人工智能、網絡安全和無線自組織網絡路由算法。

董博（1981-），男，遼寧省沈陽市人。碩士學位。現為遼寧大學計算中心講師。研究方向為數據挖掘、網絡信息安全、無線傳感器網絡。

作者單位

1.遼寧大學信息化中心 遼寧省沈陽市 110036

2.遼寧大學計算中心 遼寧省沈陽市 110036