惡意程式加釣魚，使行動平台危機驟增

「Top 10 Review」依據防毒、即時保護、遠端鎖定、定位與追蹤遺失裝置…等多項評比結果，為使用者選出9款手機防毒軟體。資料來源：Top 10 Review

在2013年上半期間，諸多資安廠商紛紛發布了資安威脅報告，藉由這些報告，我們明顯發現一個趨向，那便是行動平台的惡意程式數量急遽增加，逐漸成為網路犯罪分子所覬覦的溫床。

早在兩年前，如果有人說，未來依附在行動裝置之中的惡意程式數量，總有一天會超越個人電腦的惡意程式，你肯定會質疑此人危言聳聽。

但隨著各大資安業者陸續提出最新的資安威脅報告出爐，讓我們不得不驚駭莫名，無論是行動惡意程式的增長或變種速度，都比人們預期來得更快，尤其是市佔率最高、系統架構也最為開放的Android，滋生惡意程式的勢頭，簡直可用猛烈兩個字來形容。

根據賽門鐵克提出的報告，相較於2011年，2012年行動裝置的惡意程式數量足足增長58%，其中又以Android最值得堪慮，主因在於，2011期間，一個Android惡意程式「家族」，平均可繁衍出5種經過變種的惡意程式，然而才不過時隔一年，共計發現160多個Android惡意程式家族，竟聯手產生多達4,400個變種程式，比例從1:5爆至1:38。

行動裝置將成駭客最大本營
按照這個速度，恐怕在不久之後，人們即可見到鎖定於行動裝置的惡意程式數量，一舉超越個人電腦，成為駭客聚集、高手薈萃的最大本營。

看到這裡，多數人一定以為，Android作業平台之上的系統漏洞，肯定遠遠超乎其他作業系統，但令人咋舌的是，根本不是這麼一回事。同樣是依據賽門鐵克的研究，綜觀2012年期間所發現到的400多個行動系統漏洞，光是iOS就佔據了逾9成3比重，相形之下，Android被發現到的漏洞數量，根本微不足道，意謂著弱點少的OS遭駭機率反倒更為巨大，無疑顛覆了IT業界人士的一慣認知，這也說明了，行動惡意程式與作業系統漏洞無甚關聯，難免徒增了行動裝置防毒防駭的複雜性。

一向專注研發網路安全及廣域網路優化解決方案的Blue Coat，也在幾個月前發布2013年行動惡意軟體報告，在報告中即強調，多數企業面對行動裝置存取其網路資源一事，逐漸走向全面開放的態度，連帶也等於為網路犯罪分子敞開大門，而現今的犯罪分子，已然擁有對行動裝置發動破壞性攻擊的能力。

何以行動惡意軟體滋生？Blue Coat認為，基於行動裝置或行動APP應用程式的特性，使得它們先天上就容易遭受多種特定類型的攻擊，最常見的攻擊手法不外是詐騙、垃圾郵件及網路釣魚，而這些攻擊活動以往都曾出現在Web環境，並不算是此刻才初來乍到的新型攻擊，但其部署難度低、橫跨不同裝置的能力強，正好切中駭客或網路犯罪者的脾胃，可被用於針對行動裝置發動攻擊。

更麻煩的是，行動裝置的使用者，通常會同時透過傳統網頁、行動版網頁或本端應用程式等不同途徑存取相同內容，這個看起來並不出奇的特色，卻將大幅增加行動裝置防護與管理的複雜性與困難度。綜觀各類型網頁內容，其中以「色情」網站潛藏的危機最大，當行動裝置使用者瀏覽這類型網站，可能承受高於其他存取行為達三倍以上的風險。

另一資安廠商F-Secure，稍早前也針對2012年第四季行動安全威脅提出報告，指稱Android系統受駭程度高於其他平台，甚至有愈演愈烈的趨勢，有高達近八成的惡意軟體，專為Android平台量身訂作；對此該公司的安全顧問解釋，惡意軟體係依附作業系統而生，愈是位居主流的作業系統，愈是讓惡意軟體猶如是寄生蟲一般，容易被養大。

欲求明哲保身　宜啟動相關防護措施
如何是好，F-Secure也提供相關建議，首先第一步就是更新作業系統版本，舉例來說，綜觀2012年Android系統的惡意軟體型態，有超過6成比例皆為木馬程式，但隨著Google釋出Android 4.2版本之後，已經有效抑制了此類木馬程式或間諜程式。

只不過，現今已有不少惡意軟體，會將病毒碼埋藏在程式更新系統之中，也就是說，伴隨駭客攻搫手法日新月異，恐導致更新作業系統版本的效力遞減，光是做到這一步，自然無法全面消弭手機受駭的可能性，值此時刻，使用者在行動裝置安裝專業防護軟體，仍具有很大的必要性。

海外一個名為「Top 10 Review」的網站，先前已公布9個最佳的Android防毒軟體，依序是BullGuard Mobile Security、Lookout Premium、McAfee Mobile Security、Kaspersky Mobile Security、ESET Mobile Security、Trend Micro Mobile Security、F-Secure Mobile Security、Webroot Secure Anywhere Mobile，以及NetQin Mobile Security，其名次的高低，取決於防毒、即時保護、遠端鎖定、定位與追蹤遺失裝置、遠端抹除、掃瞄手機應用、反垃圾郵件、反惡意網站、反間諜、設備警示音訊、SIM卡鎖定等多項功能評比，提供予手機使用者評估參考。

總而言之，不管使用者選用哪一套手機防毒軟體，基本上都可發揮防毒防駭之功效，算是相當基礎的保護措施，除此之外，尚須配合本身行為模式的調整，才能一舉奏效，比方說，在安裝APP應用程式時，務必留意相對應的資料存取權限需求，切莫不明就理直接按下確認；其次，對於Android使用者而言，宜透過Google Play官方平台下載APP，不要輕易嚐試非官方市集，因為藉由這類型市集，會讓使用者更容易安裝到內含惡意程式的APP。

再者，使用者切記不要點擊不明的連結，只因駭客或網路犯罪人士，通常都會利用類似釣魚連結的手法，誘使使用者上鉤後，再取得行動裝置上的「鑰匙」，可用以剝開該裝置的種種一切，要想拿走箇中私密資料，簡直就像探囊取物般輕而易舉；譬如早先即曾透過臉書(Facebook)而瘋傳的「假拉票真詐騙」－我朋友參加攝影比賽，幫忙一下，這個老梗又在LINE上重施故技，即是典型的網路釣魚，使用者萬萬不得輕易上當。

知名的資安業者趨勢科技，對於行動網路釣魚著力頗深，也不時向手機或平板分享相關資訊。該公司指出，相較以往PC環境的網路釣魚，行動網路釣魚的危害性似乎更大，主因在於，行動裝置普遍為小尺寸螢幕，較難透過行動瀏覽器顯示所有內容，方便釣魚網站掩蓋可能被識破的元素；其次，某些裝置會自動開啟預設的瀏覽器，使用者無法自行抉擇較為安全的瀏覽器；再者，行動裝置的使用者介面，通常設計重點在於加速及簡化使用者體驗，所以容易省略若干安全措施，例如不會顯示標明網站合法性和連結安全性的圖示。

行動釣魚網頁的終極目標，旨在於竊取使用者的個人資料，包括金融帳戶、社群網站帳號、網路購物帳號等等，一旦讓網路犯罪分子得逞，使用者的銀行帳戶便可能被提領一空，連累親朋好友感染惡意程式或慘遭詐騙，抑或莫名其妙成了幫別人買單的冤大頭。

如何避免讓自己淪為釣魚網站的禁臠？第一，儘可能利用網路銀行或購物網站提供的官方應用程式，不要輕易使用行動瀏覽器；第二，萬一收到可疑寄件者傳來的電子郵件，宜避免點入連結或打開附件檔；第三，詳加檢查網頁與網址；第四，不妨點入行動瀏覽器的地址欄，藉此確認完整內容，睜大眼睛檢查乍看正常的網址是否經過變造；第五，將經常需要造訪的網站加入書籤，以減少因為拼字錯誤而進入釣魚網站的機會；第六，還是老話一句，必須善用行動安全解決方案，除用以識別與封鎖網路釣魚威脅外，還可一併防護惡意軟體、高風險網址及高風險應用程式。