了解行動裝置最新威脅 確保企業BYOD的安全

隨著今日的行動裝置已如雨後春筍般地大量成長，許多原先只針對個人電腦所發起的攻擊事件，如今已慢慢將目標轉移至行動裝置，最主要的原因，就在於絕大部份的行動裝置都缺少了如個人電腦幾乎都會安裝的防毒軟體，加上修補系統漏洞的速度也還不夠快，很容易就會被惡意人士發現弱點而趁機入侵。

除此之外，目前在企業中使用自有行動裝置(BYOD)的情況也日漸普及，這也成為吸引駭客攻擊行動裝置的一大誘因，無論是透過社交工程手法來引誘使用者安裝惡意的app，或是利用已經被植入木馬的行動裝置來持續發動攻擊或竊取個人資料，也都已經是很常見的攻擊手法。

根據F-Secure 2014第一季的行動威脅報告指出，目前有九成以上針對行動裝置的新惡意程式，主要攻擊的對象是Android系統，但這並不表示使用iOS的iPhone和iPad就不會受害，根據其他的研究報告指出，iOS所存在的安全弱點也持續不斷地增加中，同樣也有可能會被惡意人士所利用。

對大型企業而言，如果已經導入了行動裝置管理方案如MDM或MAM等，就有能力提供所需的安全管理政策與防護機制，因應可能面臨的安全威脅。但是對中小型的企業來說，由於缺少專業的資安人員與足夠的資源，恐怕就難以對抗這些不斷翻新的攻擊行為。但無論如何，企業都必須要了解針對行動裝置的最新威脅與攻擊手法，並且採取必要的安全措施。

威脅一：行動裝置釣魚與勒索程式

最近很流行的網路簡訊詐騙方式，讓許多智慧型手機的使用者都不小心受騙上當，詐騙者在簡訊內容中假藉快遞簽收單的名義，並附上短網址的連結，讓受害者以為自己的包裹送達了，在點選連結並簽收之後，才會發現已被利用小額付款的方式詐騙了金錢。
 
圖：宅急便通知、網上支付、電費等各種簡訊詐騙頻傳。圖片來源：Google Image

另外，在個人電腦上著名的勒索程式Cryptolocker，則是會將使用者的所有檔案加密，要求支付500美元的贖金之後，才會交出解開檔案的加密金鑰。現在，這種手法也已經蔓延至行動裝置上，在Android方面，有些惡意的線上影片網站會要求使用者下載影片播放程式，只要一不小心打開了被感染的檔案，行動裝置上所有的檔案就會被鎖住，直到使用者願意交付贖金為止。對此，iOS的行動裝置使用者也別暗自偷笑，目前在澳洲也傳出了最新的災情，惡意人士是利用蘋果的「Find My iPhone」功能，直接將使用者的iPhone和iPad鎖住，再透過訊息要求必須透過PayPal支付 100美元的贖金，才願意幫使用者解鎖。

威脅二：利用行動裝置發動網路攻擊

對企業來說，一旦已感染惡意程式的行動裝置連接了內部網路，就有可能會對同一網段的其他連網裝置發動攻擊，進而擴大其感染的範圍。另外，透過行動裝置來發動網路DDoS攻擊也變得更加容易且難以阻擋，因為這些行動裝置使用者，對於某些網站和網路服務都是合法的使用者，因此很難用傳統方式將攻擊來源完全封鎖。

威脅三：竊取金融資訊與個人資料

一旦使用者在行動裝置中下載安裝了惡意app，並且同意給予其所需要的權限之後，就等同於啟用了某個間諜程式，如果使用者利用行動裝置進行網路銀行轉帳或線上刷卡，這些有價值的金融資訊可能就會因此而外洩。另外，個人在智慧型手機上的親友通訊錄和所傳送接收的簡訊內容，也很容易讓惡意人士透過這種方式取得，可能會被用來實施更進一步的電話詐騙之用。

威脅四：盜用行動裝置的運算資源

現在最流行的數位貨幣比特幣，就是藉由網路挖礦的過程中而獲得，雖然手機的運算能力可能比不上桌上型電腦和商用伺服器，但根據國外媒體的報導，也開始有駭客利用Android手機上偽冒的app來偷偷進行挖礦，如果使用者發現手機電力消耗的很快，很有可能就是有惡意程式正在背景運作中，盜用了行動裝置的網路與運算資源。


建議企業應採取的安全措施

就像個人電腦一樣，無論您使用的是Windows或Mac OS作業系統，只要電腦需要連上網際網路，並且進行資料存取和下載交換，就有需要安裝個人防火牆和防毒軟體來提供更好的防護。在行動裝置方面，包括Android、iOS等比較普遍且容易受到攻擊的行動作業系統，也建議企業安裝行動裝置版本的安全防護軟體，以降低被害的可能。

對於那些經常在企業外部活動，需要使用行動裝置透過公共網路存取企業內部資料的人員，建議最好是採取VPN的方式來進行，除了可以為連線過程提供加密機制之外，也可以透過身份認證來管理和記錄使用者的行為。至於如今也受到行動裝置熱烈歡迎的雲端虛擬桌面服務(VDI)，在使用者身份管理方面，則建議採取更嚴謹的多因素認證，以避免萬一使用者帳號和密碼外洩時，可能會引發更多的安全問題。

最後，只要是允許員工BYOD的企業，都應該要制訂行動裝置的安全政策，明文規定必須設有一定複雜度且長度足夠的密碼，並要求使用者不可任意安裝來路不明的第三方app，以避免讓惡意程式取得了行動裝置的更多權限，造成不必要的個人資料外洩，或是作為跳板來發出惡意攻擊。當然，這也需要持續地實施教育訓練與宣導，唯有讓使用者具備了足夠的安全意識，才有能力避免掉入惡意威脅的陷阱之中。