在本周的大部分时间里,我并不是完全有意关注 Apple 设备安全(请参阅此处和此处),但 Sophos 的新研究应该会引起任何致力于提高安全意识的企业的兴趣。
绝命毒师
该研究调查了 167 个用于欺骗 iOS 和 Android 用户的假冒应用程序。 那些影响 Apple 移动操作系统的问题尤其突出,因为它们显示出恶意软件作者越来越老练。
Sophos 发现这些复杂的攻击结合了一系列武器,从社会工程、假冒网站、假冒 iOS App Store 页面,甚至 iOS 应用程序测试网站,将这些假冒应用程序安装到受害者的设备上。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
Sophos 警告称,这些攻击可能由同一组织发起,所有被识别的应用程序都声称是加密货币、股票和银行应用程序,这些应用程序会从使用它们的人那里窃取信息。 需要注意的是,Sophos 已经分享了这些应用程序的详细信息,现在它们应该会被恶意软件检测应用程序检测到。
使用了哪些攻击媒介?
对于企业用户来说,重要的是要确定使用了哪些攻击向量来分发这些应用程序。 首先,这些都是社会工程与复杂的欺骗尝试相结合的好例子。
例如,研究人员确定了一个实例,在该实例中,攻击者在约会应用程序中找到了受害者,他们最终操纵受害者安装了一个假应用程序,然后试图窃取一个人的加密货币详细信息。
这些攻击还使用了看似是知名品牌合法网站的欺骗网站,并利用临时应用程序分发和极具说服力的 App Store 下载页面,以及虚假的客户评论。
人性是脆弱的
使这些令人信服的攻击变得危险的是构建的真实性。 这意味着人们,包括您的员工,很容易成为他们的牺牲品。 再一次,这些尝试集中在任何安全链中最薄弱的环节——使用设备的人。
企业可以做些什么来保护自己? 我认为这是支持零信任的论点。
密码不仅不能充分保护个人数据,对于企业服务和信息来说也是如此。 正如我建议任何 iOS 用户一样,企业至少应该部署多因素身份验证来强化现有的安全协议,尽管这还不够。 基于网络的零信任安全模型形成了另一个屏障,可以削弱此类攻击的影响。
考虑到今天的安全是一种时间,而不是如果,采用组合安全保护的举措使得即使在该保护的一个组件被渗透的情况下,数据也更有可能保持安全。
还使用了临时分发
还值得注意的是,至少在其中一些案例中,犯罪分子利用临时分发(Sophos 指的是超级签名开发者服务)来逃避 Apple 的 App Store 流程。 这让他们创建了看似真实的应用程序,这些应用程序由虚假的 App Store 页面分发,但完全在 App Store 流程之外构建和管理。
如果移动开发人员被迫以与多店面购物中心相同的方式而不是高级百货商店的方式运行 App Store,那么您将会看到更多此类安装。 但我离题了。
这些应用程序是恶意的,其行为与真实应用程序相似,但通过虚假的 App Store 页面进行分发。 他们从不与 Apple 进行任何真正意义上的互动,而且所使用的开发者服务很可能违反了 Apple 的开发者许可协议。
应用商店提供商可以采取一些措施来减轻此类攻击。 例如,Sophos 建议商店应该将声誉和可信度分数添加到应用程序排名中。
苹果必须…
我们知道 Apple 会留意通过 App Store 进行的此类尝试。 去年,它终止了 470,000 个开发者帐户,并拒绝了超过 200,000 个注册。 它还从 App Store 中删除了 95,000 个欺诈性违规应用程序,例如操纵用户进行购买。
但在这些违规行为中使用临时应用程序分发导致 Sophos 建议 Apple 创建一个新的 iOS 警告消息,让用户知道他们是否在 Apple 的 App Store 之外临时安装应用程序。
我完全同意这种做法。 我不认为 Beta 测试人员在安装试用应用程序时会因此类警告而关闭。 我也不认为使用内部开发应用程序的小型发行版的企业会在向员工解释此类警告时遇到问题。
为安装通过智能社会工程分发的犯罪应用程序增加障碍和说服造假方面的广泛好处远远超过了首先收到此类警告的摩擦。
尽管如此,在线服务、实体、用户和企业之间针对网络犯罪分子的猫捉老鼠游戏继续变得越来越复杂,而人类仍然是安全链中最薄弱的环节。 在任何平台上。
