以下文章經許可轉載自The Conversation,這是一個報道最新研究的線上出版物。
想想看,在任何時候,你都可能開啟一封看起來像是來自你的僱主、親戚或銀行的電子郵件,結果卻掉入了一個網路釣魚詐騙的陷阱,這真是令人不安。你每天收到的無數看似無辜的電子郵件中的任何一封,都可能試圖誘騙你交出你的登入憑證,讓犯罪分子控制你的機密資料或你的身份。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續刊登關於塑造我們當今世界的發現和想法的有影響力的報道。
大多數人傾向於認為,當人們落入網路釣魚詐騙時,是使用者的錯:有人只是點選了錯誤的東西。因此,要解決這個問題,使用者應該停止點選錯誤的東西。但是,作為研究惡意軟體技術的安全專家,我們認為這種想法追錯了問題。
真正的問題是,當今基於網路的電子郵件系統是電子雷區,充滿了點選和參與日益響應和互動線上體驗的要求和誘惑。不僅僅是 Gmail、雅虎郵件和類似的服務:像 Outlook 這樣的基於桌面電腦的電子郵件程式也以同樣不安全的方式顯示訊息。
簡而言之,安全的電子郵件是純文字電子郵件——只顯示訊息的純文字,完全按照它們到達時的樣子,沒有嵌入的連結或影像。網頁郵件對於廣告商來說很方便(並且讓你可以編寫帶有影像和漂亮字型的美觀電子郵件),但隨之而來的是不必要且嚴重的危險,因為網頁(或電子郵件)很容易顯示一回事卻做另一回事。
將電子郵件恢復到其純文字的起源可能看起來很激進,但它提供了根本上更好的安全性。即使是聯邦政府的頂級網路安全專家也得出了令人震驚但重要的結論,即任何認真對待網路安全的個人、組織或政府都應該迴歸到純文字電子郵件
“組織應確保已停用電子郵件中使用 HTML,並停用連結。所有內容都應強制為純文字。這將降低電子郵件正文中傳送潛在危險指令碼或連結的可能性,並且還將降低使用者在沒有思考的情況下點選某些內容的可能性。使用純文字,使用者將不得不經歷輸入連結或複製貼上的過程。這個額外的步驟將讓使用者在點選連結之前有額外思考和分析的機會。”
誤解問題
近年來,網頁郵件使用者一直被嚴厲指示要完美地關注每封電子郵件訊息的每個細微之處。他們承諾不開啟來自他們不認識的人的電子郵件。他們說他們不會在沒有仔細審查的情況下開啟附件。組織付費給安全公司進行測試,看看他們的員工是否兌現了這些承諾。但網路釣魚仍在繼續——並且變得越來越普遍。
新聞報道甚至可能使問題更加令人困惑。《紐約時報》稱民主黨全國委員會的電子郵件安全漏洞在某種程度上既“明目張膽”又“隱秘”,並將矛頭指向了許多可能的問題——舊的網路安全裝置、複雜的攻擊者、漠不關心的調查人員和粗心的支援人員——然後才揭示出弱點實際上是一個忙碌的使用者“沒有多想”就採取了行動。
但是,網頁郵件的真正問題——數百萬美元的安全錯誤——是認為如果電子郵件可以透過網站傳送或接收,它們就可以不僅僅是文字,甚至是網頁本身,由網路瀏覽器程式顯示。這個錯誤催生了犯罪性的網路釣魚產業。
為危險而設計
網路瀏覽器是不安全性的完美工具。瀏覽器被設計為無縫地組合來自多個來源的內容——來自一臺伺服器的文字,來自另一臺伺服器的廣告,來自第三臺伺服器的影像和影片,來自第四臺伺服器的使用者跟蹤“點贊”按鈕,等等。一個現代網頁是第三方網站的拼湊,數量可能達到幾十個。為了使這種影像、連結和按鈕的集合看起來統一和整合,瀏覽器不會向你顯示網頁的各個部分來自哪裡——或者如果點選它們會把你帶到哪裡。
更糟糕的是,它允許網頁——從而允許電子郵件——對此撒謊。當你在瀏覽器中輸入“google.com”時,你可以合理地確信你會得到谷歌的頁面。但是,當你點選一個標記為“Google”的連結或按鈕時,你實際上是前往谷歌嗎?除非你仔細閱讀電子郵件的底層 HTML 原始碼,否則你的瀏覽器可能會透過十幾種方式被操縱來欺騙你。
這與安全性背道而馳。使用者無法預測其行為的後果,也無法提前決定潛在結果是否可以接受。一個完全安全的連結可能緊挨著一個惡意連結顯示,它們之間沒有明顯的區別。當用戶面對網頁並決定點選某些內容時,沒有合理的方法知道可能發生什麼,或者使用者將與哪個公司或其他方互動。按照設計,瀏覽器會隱藏這些資訊。但至少,在瀏覽網頁時,你可以選擇從受信任的站點開始;然而,網頁郵件卻將攻擊者製作的網頁直接傳送到你的郵箱!
在當今的網頁郵件環境中,確保安全的唯一方法是學習專業網頁開發人員的技能。只有這樣,HTML、Javascript 和其他程式碼的層層疊疊才會變得清晰;只有這樣,點選的後果才會提前知道。當然,對於使用者來說,要求如此高的專業水平來保護自己是不合理的。
在軟體設計師和開發人員修復瀏覽器軟體和網頁郵件系統,並讓使用者就他們的點選將把他們帶向何處做出明智的決定之前,我們應該遵循計算機安全早期先驅之一 C.A.R. Hoare 的建議:“可靠性的代價是追求極致的簡潔。”
安全的電子郵件是純文字電子郵件
公司和其他組織比個人更脆弱。一個人只需要擔心他或她自己的點選,但組織中的每個員工都是一個單獨的弱點。這是一個簡單的數學問題:如果每個員工都有相同的 1% 的可能性落入網路釣魚詐騙,那麼公司作為一個整體的綜合風險要高得多。事實上,擁有 70 名或更多員工的公司有超過 50% 的機會有人會被矇騙。公司應該非常批判性地看待那些提供比拋硬幣更糟糕的安全賠率的網頁郵件提供商。
作為技術專家,我們早就接受了一個事實,即有些技術只是一個糟糕的主意,即使它看起來很令人興奮。社會也需要這樣做。有安全意識的使用者必須要求他們的電子郵件提供商提供純文字選項。不幸的是,這樣的選項很少且相距甚遠,但它們是阻止網頁郵件不安全流行病的關鍵。
那些拒絕這樣做的郵件提供商應該被避免,就像不適合做生意的陰暗小巷一樣。那些線上陰暗小巷可能看起來賞心悅目,有廣告、影像和動畫,但它們並不安全。
本文與網路安全研究員和開發人員Robert Graham合作撰寫。
本文最初發表於The Conversation。閱讀原文。