以下文章经许可转载自The Conversation,这是一个报道最新研究的在线出版物。
想想看,在任何时候,你都可能打开一封看起来像是来自你的雇主、亲戚或银行的电子邮件,结果却掉入了一个网络钓鱼诈骗的陷阱,这真是令人不安。你每天收到的无数看似无辜的电子邮件中的任何一封,都可能试图诱骗你交出你的登录凭证,让犯罪分子控制你的机密数据或你的身份。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保未来能够继续刊登关于塑造我们当今世界的发现和想法的有影响力的报道。
大多数人倾向于认为,当人们落入网络钓鱼诈骗时,是用户的错:有人只是点击了错误的东西。因此,要解决这个问题,用户应该停止点击错误的东西。但是,作为研究恶意软件技术的安全专家,我们认为这种想法追错了问题。
真正的问题是,当今基于网络的电子邮件系统是电子雷区,充满了点击和参与日益响应和互动在线体验的要求和诱惑。不仅仅是 Gmail、雅虎邮件和类似的服务:像 Outlook 这样的基于桌面电脑的电子邮件程序也以同样不安全的方式显示消息。
简而言之,安全的电子邮件是纯文本电子邮件——只显示消息的纯文字,完全按照它们到达时的样子,没有嵌入的链接或图像。网页邮件对于广告商来说很方便(并且让你可以编写带有图像和漂亮字体的美观电子邮件),但随之而来的是不必要且严重的危险,因为网页(或电子邮件)很容易显示一回事却做另一回事。
将电子邮件恢复到其纯文本的起源可能看起来很激进,但它提供了根本上更好的安全性。即使是联邦政府的顶级网络安全专家也得出了令人震惊但重要的结论,即任何认真对待网络安全的个人、组织或政府都应该回归到纯文本电子邮件
“组织应确保已禁用电子邮件中使用 HTML,并禁用链接。所有内容都应强制为纯文本。这将降低电子邮件正文中发送潜在危险脚本或链接的可能性,并且还将降低用户在没有思考的情况下点击某些内容的可能性。使用纯文本,用户将不得不经历输入链接或复制粘贴的过程。这个额外的步骤将让用户在点击链接之前有额外思考和分析的机会。”
误解问题
近年来,网页邮件用户一直被严厉指示要完美地关注每封电子邮件消息的每个细微之处。他们承诺不打开来自他们不认识的人的电子邮件。他们说他们不会在没有仔细审查的情况下打开附件。组织付费给安全公司进行测试,看看他们的员工是否兑现了这些承诺。但网络钓鱼仍在继续——并且变得越来越普遍。
新闻报道甚至可能使问题更加令人困惑。《纽约时报》称民主党全国委员会的电子邮件安全漏洞在某种程度上既“明目张胆”又“隐秘”,并将矛头指向了许多可能的问题——旧的网络安全设备、复杂的攻击者、漠不关心的调查人员和粗心的支持人员——然后才揭示出弱点实际上是一个忙碌的用户“没有多想”就采取了行动。
但是,网页邮件的真正问题——数百万美元的安全错误——是认为如果电子邮件可以通过网站发送或接收,它们就可以不仅仅是文本,甚至是网页本身,由网络浏览器程序显示。这个错误催生了犯罪性的网络钓鱼产业。
为危险而设计
网络浏览器是不安全性的完美工具。浏览器被设计为无缝地组合来自多个来源的内容——来自一台服务器的文本,来自另一台服务器的广告,来自第三台服务器的图像和视频,来自第四台服务器的用户跟踪“点赞”按钮,等等。一个现代网页是第三方网站的拼凑,数量可能达到几十个。为了使这种图像、链接和按钮的集合看起来统一和集成,浏览器不会向你显示网页的各个部分来自哪里——或者如果点击它们会把你带到哪里。
更糟糕的是,它允许网页——从而允许电子邮件——对此撒谎。当你在浏览器中输入“google.com”时,你可以合理地确信你会得到谷歌的页面。但是,当你点击一个标记为“Google”的链接或按钮时,你实际上是前往谷歌吗?除非你仔细阅读电子邮件的底层 HTML 源代码,否则你的浏览器可能会通过十几种方式被操纵来欺骗你。
这与安全性背道而驰。用户无法预测其行为的后果,也无法提前决定潜在结果是否可以接受。一个完全安全的链接可能紧挨着一个恶意链接显示,它们之间没有明显的区别。当用户面对网页并决定点击某些内容时,没有合理的方法知道可能发生什么,或者用户将与哪个公司或其他方互动。按照设计,浏览器会隐藏这些信息。但至少,在浏览网页时,你可以选择从受信任的站点开始;然而,网页邮件却将攻击者制作的网页直接发送到你的邮箱!
在当今的网页邮件环境中,确保安全的唯一方法是学习专业网页开发人员的技能。只有这样,HTML、Javascript 和其他代码的层层叠叠才会变得清晰;只有这样,点击的后果才会提前知道。当然,对于用户来说,要求如此高的专业水平来保护自己是不合理的。
在软件设计师和开发人员修复浏览器软件和网页邮件系统,并让用户就他们的点击将把他们带向何处做出明智的决定之前,我们应该遵循计算机安全早期先驱之一 C.A.R. Hoare 的建议:“可靠性的代价是追求极致的简洁。”
安全的电子邮件是纯文本电子邮件
公司和其他组织比个人更脆弱。一个人只需要担心他或她自己的点击,但组织中的每个员工都是一个单独的弱点。这是一个简单的数学问题:如果每个员工都有相同的 1% 的可能性落入网络钓鱼诈骗,那么公司作为一个整体的综合风险要高得多。事实上,拥有 70 名或更多员工的公司有超过 50% 的机会有人会被蒙骗。公司应该非常批判性地看待那些提供比抛硬币更糟糕的安全赔率的网页邮件提供商。
作为技术专家,我们早就接受了一个事实,即有些技术只是一个糟糕的主意,即使它看起来很令人兴奋。社会也需要这样做。有安全意识的用户必须要求他们的电子邮件提供商提供纯文本选项。不幸的是,这样的选项很少且相距甚远,但它们是阻止网页邮件不安全流行病的关键。
那些拒绝这样做的邮件提供商应该被避免,就像不适合做生意的阴暗小巷一样。那些在线阴暗小巷可能看起来赏心悦目,有广告、图像和动画,但它们并不安全。
本文与网络安全研究员和开发人员Robert Graham合作撰写。
本文最初发表于The Conversation。阅读原文。