網站使用者與擁有者都該了解的網站資安問題

網路的使用習慣大家都不一樣,有些人習慣使用書籤來記錄常用網站,只要點一個按鍵就可以直接打開想看的網站;有些人則習慣記憶網站網址,隨手輸入即可打開網站,但這二種方式都存在使用上的風險。

在今年 8 月時,資安廠商趨勢科技曾發文表示,有一波採用 Typosquatting 的網路攻擊發生,Typosquatting 攻擊手法的中文為誤植域名,也稱作URL(網址)劫持,這種攻擊手法需先將與熱門網站相似的域名註冊下來後,再利用人們粗心的弱點,當輸入錯誤網址時,直接將使用者引導至已設計好的惡意網站,這類的網站可能會設計的與正版網站極度相似,讓使用者無法在第一時間馬上發現自己已進入錯誤的網站,在使用者毫無戒心之下,引導使用者下載非必要應用程式或輸入機敏資訊,進而達成目的。

這樣的攻擊手法對應使用者網路的使用習慣來看,習慣自己記憶網站網址,並親手輸入網址來開啟網站的使用者,是較容易成為此攻擊手法的受害者。但是,對於將網站加入我的最愛,只要點一點就會到網站的使用者,就沒有風險了嗎?並不是喔!將網站加入我的最愛,想登入網站時只要點擊就可以打開,是可以減少進入錯誤網站的風險,但若是網站本身早已被有心人士入侵,並且埋入惡意程式或轉跳程式時,只要您登入這個網站,您的電腦與個人機敏資訊同樣也身陷危險之中。

網站是個公開透明的平台,可供大家自由進出瀏覽,我們可以將網站想像成一場選舉造勢活動,大家可以進出參與或觀看活動,但活動舉行上絕對會有些必要的規劃,像是活動舉辦單位的申請與查核、現場安全動線規劃、資源分配等等…,而對應於網站來看,就等同於建立完網站後,必定需要將 SSL 數位憑證作為場域安全規劃的其中一環,以確保網站擁有者及使用者都知道此網站是真實、安全、且可信任的。

但在安全性上該怎麼做呢?在實體公開的活動上,我們可以安排專業的安全人員隨時巡邏,注意是否有可疑份子或炸彈客身藏其中,而安全人員的能力高低與經驗多寡,則影響了能否提早且精準的抓出可疑份子,以確保整個會場安全。而在網站的安全性上,網站擁有者就可以選擇像是 HackerScan 網頁掛馬入侵偵測服務,HackerScan 是個專門針對已在運行中的網站所開發的安全防護產品,採即時監控與定期掃描網站程式碼的方式,防止網站遭惡意程式入侵並埋入惡意程式碼,其能掃描的惡意程式類型包含SQL Injections 資料隱碼攻擊、惡意 IFrame 嵌入、惡意 JavaScript 程式、XSS 攻擊等,當發現網站有問題時,系統會立即通報管理人員,以利管理人員即時得到資訊並進行修復,避免擴大災難的發生。

資安攻擊事件發生得越來越頻繁,而攻擊手法也日新月異,網站經營者用心經營及維護網站安全品質之外,使用者本身的網路使用習慣也需要跟著改變。

網路使用小提醒:

  1. 不上來路不明的網站,看清楚網站網址是否正確
  2. 不點擊用誇大言詞或不實言論吸引人的網站(如:免費提供XXX、點擊立即獲得XXX)
  3. 注意網站是否通過第三方安全認證(如:SSL)
  4. 確認網站是否有定期維護更新及做安全掃描(如:HackerScan)
  5. 所有跳轉確認畫面及應用程式下載都需留心內容及必要性

當網站擁有者對使用者用的安全負責之外,使用者也需多加注意與留心自己的網路使用習慣,以防止自己成為資安攻擊的受害者。

圖片來源:typographyimages / pixabay