|
MobileIron最近为了更好地了解当前二维码的发展趋势,所以在9月份,专门针对美国和英国的2100多名消费者进行了一项跟踪调查,结果证明了二维码确实在当今得到了更广泛的应用。例如,在过去的六个月里,超过三分之一的手机用户在餐馆、酒吧、零售商或消费品上扫描二维码。
关于MobileIron
MobileIron通过业界第一个针对无处不在的企业(Everywhere Enterprise),并以移动设备为中心的安全平台,重新定义企业安全性。在无处不在的企业中,公司数据可在云中的设备和服务器之间自由流动,从而使工作人员在任何需要的地方都能高效地工作。为了在这种无边界的企业中实现安全访问并保护数据,MobileIron采用了“零信任”方法,该方法假定网络中已经存在不良行为者,并且安全访问由“永不信任、始终验证”模型来确定。
调查结果还显示了一些令人担忧的趋势:手机用户并不真正了解二维码的潜在风险,近四分之三(71%)的受访者分不清合法二维码和恶意二维码。与此同时,超过一半(51%)的被调查用户在他们的设备上没有或不知道他们是否有移动安全保护程序。
二维码似乎永远都是我们生活的一部分,但我们并没有过多地考虑它。移动设备已经使我们习惯于在工作、购物、吃饭等其他事情分散我们的注意力时,采取快速的行动:滑动→点击→点击→支付。
这正是黑客赖以生存的隐性信任和轻率行为,这就是为什么如果移动员工正在使用其个人设备访问业务应用程序并扫描可能存在风险的二维码,则企业IT部门应开始更加仔细地研究其移动安全方法。
那么,二维码到底有哪些风险呢?
破解一个真正的二维码需要一些技巧才能改变代码矩阵中的像素点,为此黑客们找到了一种简单的方法,比如在二维码(可由互联网上广泛使用的免费工具生成)中嵌入恶意软件。对于普通用户来说,这些代码看起来都一样,但是一个恶意的二维码可以把用户重定向到一个虚假的网站。它还可以捕获个人数据或在智能手机上安装恶意软件,从而启动如下操作:
添加联系人列表:黑客可以在用户的手机上添加新的联系人列表,并使用它来发起鱼叉式网络钓鱼或其他个性化攻击。
1.发起电话呼叫:通过触发向诈骗者的呼叫,这种类型的利用可将电话号码暴露给攻击者。
2.向某人发送短信:除了向恶意收件人发送短信外,用户的联系人还可能从诈骗者那里收到恶意短信。
3.编写电子邮件:与恶意文本类似,黑客可以起草电子邮件并填充收件人和主题行。如果设备缺乏移动威胁防护,黑客可能会以用户的工作电子邮件为目标。
4.付款:如果二维码是恶意的,则可能使黑客自动发送付款并盗取用户的个人财务数据。
5.显示用户的位置:恶意软件可以悄无声息地跟踪用户的地理位置并将此数据发送到应用程序或网站。
6.关注社交媒体账户:用户的社交媒体账户可以被引导去关注一个恶意账户,从而暴露用户的个人信息和联系方式。
7.添加首选的Wi-Fi网络:可以将受感染的网络添加到设备的首选网络列表中,其中包括一个能自动将设备连接到该网络的凭证。
其实我们可以做一些简单的防御措施来最小化二维码攻击风险
这些攻击行为虽然可怕,但并非不可避免。让用户了解二维码的风险是很好的开始,但企业还需要加强其移动安全防护,以抵御鱼叉式网络钓鱼和设备接管等威胁。
用户可以做什么来预防二维码攻击?
首先,请好好查看一下:确保二维码是合法的,尤其是打印出来的二维码,因为这些二维码可能会被粘贴上另一种潜在的恶意码。
仅扫描来自可信对象的代码:移动用户应坚持仅来自可信发件人的扫描代码。请注意危险标记,例如网址与公司URL不同的网址,它很有可能重定向到恶意网站。
注意bit.ly(短网址)链接:检查扫描二维码后显示的bit.ly链接的URL,这些链接通常用于伪装恶意URL,但是可以通过在URL末尾添加一个加号(“+”)来安全地预览它们。
公司可以做什么来预防二维码攻击?
希望公司尽快使用设备上的移动威胁防御解决方案,该解决方案可以防御网络钓鱼攻击,设备接管,中间人攻击和恶意应用下载。如果没有,请立即开始寻找。公司需要确保将其部署在访问业务应用程序和数据的每台设备上。
如果你什么都不做,那么现在该考虑消除基于密码的业务和云应用程序访问了,这是当今数据泄露的主要原因之一。通过转向无密码多因素身份验证,您不仅避免了密码被盗的威胁,而且还消除了维护密码的麻烦,这使每个人(除黑客之外)都更加快乐和高效。
(编辑:信阳站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
