威胁层级4:
Cookies因其包含大量有价值信息,一直是网络犯罪分子眼中最为重要的目标之一,特别是电子邮件、帐户名称以及密码等内容。即使进行混淆,此类信息仍可能被攻击者所利用。跨站点脚本攻击就会利用网页JavaScript从cookies当中提取到的用户细节与会话信息伪造在线状态及跨站点请求,从而实施对其它网站的欺诈式入侵。
第一步:只要可以,请务必屏蔽各类cookies。尽管屏蔽第一方与第三方cookies以及禁用会话cookies确实能够有效提升安全性,但这种作法往往会导致电子邮件与社交网络发生不可用问题。因此,大家至少应当屏蔽第三方cookies,并定期删除浏览器当中的历史记录。
另外,不要允许浏览器保存您的密码。尽管这种方式非常方便,但其很难保证所存储密码的安全性。E安全小编建议大家使用独立的密码管理器,例如1password或者KeePass。
改进提示:在搜索方面,可以使用DuckDuckGo等安全搜索引擎,其不会自动存储任何由计算机传输的信息,包括您的IP地址以及其它数字身份信息。DuckDuckGo不会基于原本的搜索及定位自动补全搜索查询内容,但这一点小小的牺牲绝对能够换来安全性的显著提升。
但如果大家希望保留自己的信息,那么隐私浏览将提供帮助,毕竟不保存cookies的话,攻击者将没有任何有价值信息可供窃取。
另外,在每款浏览器的会话操作完成后删除所有cookie也是个不错的选择。这就意味着您将不得不在访问各个网站时重复输入登录信息。您也可以建立不同的用户会话,并创建特定的登录会话并限制cookies以完成特定的使用及作方式。
尽管部分插件确实非常危险,但也有不少仍值得推荐,例如Disconnect,可帮助用户屏蔽一切第三方追踪cookies,能够确保您的社交媒体帐户不致受到浏览历史记录的影响,您将可全面控制站点上的脚本。另一款值得一提的扩展为Ghostery,其能够屏蔽各类常规追踪脚本,但需要您根据实际需要为各站点设置脚本白名单。
威胁层级5:钓鱼攻击
钓鱼网站属于一类欺诈性网站,旨在窃取访问者的个人信息。除了伪装成电子邮件或者银行网站去骗取您的登录凭证之外,其也可能假借竞赛或者中奖之名要求您输入社保号码。网络钓鱼攻击还能够将受害者重新定向至其它恶意网站,从而下载恶意代码及恶意软件并收集各类敏感信息。时至今日,潜在的网络钓鱼活动几乎无处不在,因此在点击任何链接之前要慎之又慎重。
第一步:不要点击来自电子邮件中的链接或者打开其附件,更不要向表单当中填写您的敏感信息。尤其不要相信假借政府方面发布的诉讼表单,这些很可能为子虚乌有,您应打电话给其中提到的部门进行亲自确认。另外,千万不要因为邮件中宣称的人力资源部假期调整要求而直接点击链接,相反,您应访问人力资源网站了解详情。这里需要强调的是,网址构成中存在着许多可资利用的漏洞,例如将数字0替换为字母O,或者将nn替换为m,包括paypal.com.someothersite.com这类看上去似乎没什么问题的地址。因此,请务必亲手在地址栏中输入您所信任的企业网站地址,而不要点击邮件或者即时通讯消息中的现成链接。
改进提示: 请仅在使用HTTPS的网站上提供个人信息。需要强调的是,考虑到Let’s Encrpyt以及其它免费SSL证书来源的存在,单纯是绿色小锁图标还不足以让我们安心。大家应当关注EV证书,即浏览器地址栏处应当显示正确的对应名称。由电子前沿基金会发布的HTTPS Everywhere扩展也是一个很好的选择,其能够以强制性方式通过HTTPS传输网站流量。
如果大家收到来自商家的特价或者打折信息邮件,请查看其是否有将邮件发送为文本而非HTML的选项。这能够帮助大家准确判断其内容中是否存在链接。
我们很难检测出一切钓鱼意图,毕竟其中部分恶意活动确实水平很高。因此,请确保没在不同帐户中使用同一密码,否则一旦密码丢失,全部帐户都将为恶意人士所获取。另外,请尽可能将个人网络浏览与工作网络浏览分离开来,且永远不要使用工作地址进行网站注册,这种作法会导致在帐户丢失后,您的工作地址很可能遭遇网络钓鱼攻击。最后,在网站支持的情况下启用双因素身份验证机制,这将使得攻击者更难使用被盗的凭证,特别是在相关帐户涉及金融交易的情况下。
威胁层级6:最大限度保护
如果大家需要最大限度提升保护能力,则需要构建起一套由多种浏览器及操作系统共同构成的、分别支持不同操作活动的系统。另外,您亦可利用多套虚拟机以实现威胁隔离。
首先 使用不同网络浏览器处理不同操作。
即使用【浏览器处理1】金融交易,【浏览器处理2】进行通信,【浏览器处理3】单纯用于网络信息浏览。
如此一来,如果攻击者入侵了您常用于访问论坛的浏览器,亦无法复跨站点脚本访问您的网上银行,因为恶意人士无法跨越不同浏览器。具体来讲,新浪微博帐户遭遇突破并不会影响到淘宝的正常使用。
对于那些高度敏感的网站,您应当为其设置专门的网络浏览器,并通过配置对相关网站进行重重限制。举例来说,您可以通过一套专用浏览器去访问Amazon Web Services控制面板,其无法“不慎”访问任何其它网站(即在白名单当中仅添加AWS,其余一律加以屏蔽)。通过这种方式,您将确保企业的整体云基础设施不致遭受暴露。同时,E安全小编强烈建议启用该专用浏览器内的全部安全选项。
改进提示:对于具有极高潜在风险或者极度敏感的站点,E安全小编建议用户可以考虑在多套虚拟机上对操作进一步隔离。例如在专有虚拟机上利用锁定(且持续更新)的浏览器处理银行业务。这将有助于解决一切以银行业务为重点的网络攻击,意味着恶意人士必须通过更为繁琐的方式才有可能取得您的银行信息。
Linux Live CD是运行虚拟机系统的理想实现方案,大家甚至能够在虚拟机之内运行Live CD以最大程度提升安全性水平。Tails是一套非常简洁的Linux变体,其关闭了USB驱动器并可用于隐藏您的数字化足迹,因为其中不会保留任何历史记录。
收到了一封看起来非常可疑的电子邮件?请在虚拟机中将其打开。如果其附件中包含恶意软件,则感染的也只是一套空荡荡的虚拟机。当然,这种作法也并不是万事大吉,一部分高水平恶意软件被设计为不会在虚拟机之内执行。但,始终保持不确定是否安全的文件存在于虚拟机内,或者说远离主桌面,在目前来说是一种较为有效的方式。
如果希望隐藏自己的在线活动,可考虑使用Tor(The Onion Router,是个免费、开源的程序),它可以给网络流量进行三重加密,并将用户流量在世界各地的电脑终端里跳跃传递,并对不同Tor节点间传输的流量进行加密与路由,这样就很难去追踪它的来源,从而提供出色的匿名保护效果。由于您的流量将由Tor发往随机服务器,因此数据不再与您的个人IP地址相关联。当然,Tor不是网络匿名访问的唯一手段。
再有,您可以使用NoScript以禁用Java、JavaScript、Flash以及其它动态内容。此选项会导致大多数网站不可用,但您可以手动对内容进行授权,E安全小编建议您需要小心检查以避免意外批准恶意代码的执行。Adblock Plus(广告拦截器)能够屏蔽来自已知广告与间谍软件网站的弹窗式广告及其它内容。虽然有人担心广告商可以通过向该平台付费的方式避免自己的宣传信息被Adblock Plus所屏蔽,但实事求是地讲,其确实能够很好地关闭弹窗式广告并阻止潜在攻击。
另一种方法则是立足浏览器本身禁用JavaScript并屏蔽弹窗。大多数浏览器在默认情况下会自动屏蔽弹窗,但JavaScript由于被广泛使用而保持默认启用。
安全措施并不能一劳永逸
在网络世界中保障自身安全无疑是一项需要将技术、认知与意愿加以结合的综合性任务。当下的各类浏览器提供大量保护性选项,包括禁用插件以及启用反钓鱼机制等功能。只要启用并设置这些基础性安全保护手段,同时注意对全部软件进行及时更新,那么您的安全水平将能够在不经意间得到大幅提升。
但必须承认的是,如今攻击者能够以前所未有的便捷方式实现恶意软件感染或者实施网络钓鱼攻击。直白地讲,所有的安全措施并不能够一劳永逸,我们遭遇入侵攻击也许只是时间的问题。然而只要您明确了自己最担心的后果以及能够承受的风险水平,即可建立起一套合理的安全保障方案,从而在业务需求、安全保障与生产力条件之间找到理想的平衡点。
(责任编辑:安博涛)
