Sophos：2021年消費者安全上網最新研究

「黑色星期五」(Black Friday) 意指11月的最后一個星期五，代表美國感恩節周末以及全球性的大型網上購物盛會已開始，而此時也是網絡詐騙者和網絡釣魚攻擊蠢蠢欲動的最佳時機。不過，相對地當人們上網瀏覽和共享信息，尤其是使用外部或公司的計算機購物時，是否也應該擔心所面臨的未知風險？
 

Sophos 首席研究科學家 Chester Wisniewski研究當今因特網安全的狀態。他將研究發現寫成一系列文章，并在今年的黑色星期五時期公布。

Sophos 首席研究科學家 Chester Wisniewski為了找出問題的答案，因此研究當今因特網安全的狀態。他將研究發現寫成一系列三篇文章，并在今年的黑色星期五時期公布。
文章摘要
1.不要害怕 Wi-Fi ─ 在這一篇探討公共 Wi-Fi 安全的文章中，Wisniewski 厘清什么是事實與什么是想象，并發現大多數人都比他們想象的要安全得多。例如，攻擊者除了必須實際出現在目標的身邊，還得判斷哪些網站容易受到降級攻擊，以便透過未加密的網站重新導向流量，或是賭運氣看能否找到只有 5% 的未加密網站 (其中大部分是廣告追蹤程序和營銷垃圾郵件)。Wisniewski 還為更謹慎的使用者提供了一些替代方案和指導。
2.密碼管理程序可以使網絡更安全 (但要注意漏洞) ─ 在本文中，Wisniewski 對 8 個密碼管理程序進行了測試。他分別扮演網絡釣魚的「受害者」和潛在的「攻擊者」，查看這些密碼管理程序在面對未加密的網站和使用假憑證的網站時，是否會拒絕自動填入資料和/或提出警告。
3.2021 年全球信息網 (WWW) 安全現況 ─ 隨著越來越多網絡用戶在將個人或財務數據送出到瀏覽器之前，會先檢查對方是否為 HTTPS 網站，Wisniewski 決定仔細深入研究 HTTP 強制安全傳輸 (HSTS)，了解有多少網站具備健全的加密和安全，以及加密被普遍采用的情況。Wisniewski 發現，雖然只有 5% 的網站尚未加密，但 61% 的已加密網站仍可能被「降級」，這會讓使用者暴露在何種程度的風險之中？
Sophos首席研究科學家 Chester Wisniewski表示： 「近年來，全球在改善因特網安全方面取得了巨大進步。我們強化了安全性基準，并在背后改變了實作對加密的方式，以確保通訊能保持私密性。還增強了密碼管理程序，幫助用戶在面對未加密的網站、使用假憑證的網站或顯然是網絡釣魚的網站時能保護自己免受傷害。結合以上發展，攻擊者不太可能經由公用 Wi-Fi 鎖定使用者。畢竟，這種攻擊只能在受害者附近發動，而不是從摩爾多瓦透過 Tor 匿名進行犯罪，且投資回報很低，因為最有價值的網站都已經被加密了，所以犯罪分子為什么要還投入時間和精力攻擊？
「但風險依然存在，我們還有很長的路要走。在太多數情況下，保持安全的大部分責任仍然在使用者。當然，因特網使用者必須始終依照常識判斷和謹慎行事，尤其是在使用未知的網絡或瀏覽不受信任的網站時，還需要小心偽裝成快遞公司或類似企業的網絡釣魚電子郵件。但是網絡廠商、技術和服務提供商以及網絡安全行業還是必須了解并縮小仍然存在的安全漏洞—尤其是那些使用者自己無法輕易看到的漏洞——因為如果我們現在不解決它們，當網絡攻擊者找到新方法來鎖定和利用它們或新出現的弱點時，我們就會遠遠落后。」